关联漏洞
标题:Apache Sling XSS Protection API模块跨站脚本漏洞 (CVE-2016-5394)Description:Apache Sling是美国阿帕奇(Apache)软件基金会的一套用于Java平台上的开源Web框架。该框架可在JCR内容库(Java Content Repository)上创建面向内容的应用。XSS Protection API module是其中的一个XSS攻击保护模块。 Apache Sling中的XSS Protection API模块1.0.12之前的版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。
介绍
Apache Sling XSS Bundle
====
The Apache Sling XSS Bundle provides two services for escaping and filtering XSS-prone user submitted content:
1. org.apache.sling.xss.XSSAPI
2. org.apache.sling.xss.XSSFilter
Please check the JavaDoc of each service to find out what methods they provide.
文件快照
[4.0K] /data/pocs/cb921040bf6c860df865a53c41fc2e0a498ed90e
├── [ 15K] LICENSE
├── [ 410] NOTICE
├── [ 12K] pom.xml
├── [ 287] README.md
└── [4.0K] src
├── [4.0K] main
│ ├── [4.0K] java
│ │ └── [4.0K] org
│ │ └── [4.0K] apache
│ │ └── [4.0K] sling
│ │ └── [4.0K] xss
│ │ ├── [4.0K] impl
│ │ │ ├── [3.1K] HtmlToHtmlContentContext.java
│ │ │ ├── [4.6K] LongValidationRule.java
│ │ │ ├── [2.5K] PlainTextToHtmlContentContext.java
│ │ │ ├── [2.5K] PolicyHandler.java
│ │ │ ├── [3.9K] XSSAPIAdapterFactory.java
│ │ │ ├── [ 16K] XSSAPIImpl.java
│ │ │ ├── [9.9K] XSSFilterImpl.java
│ │ │ └── [1.8K] XSSFilterRule.java
│ │ ├── [6.1K] JSONUtil.java
│ │ ├── [1.1K] package-info.java
│ │ ├── [2.4K] ProtectionContext.java
│ │ ├── [9.8K] XSSAPI.java
│ │ └── [2.6K] XSSFilter.java
│ └── [4.0K] resources
│ ├── [ 23K] ESAPI.properties
│ ├── [4.0K] SLING-INF
│ │ └── [4.0K] content
│ │ └── [102K] config.xml
│ └── [1.6K] validation.properties
└── [4.0K] test
├── [4.0K] java
│ └── [4.0K] org
│ └── [4.0K] apache
│ └── [4.0K] sling
│ └── [4.0K] xss
│ └── [4.0K] impl
│ ├── [ 24K] XSSAPIImplTest.java
│ └── [3.6K] XSSProtectionServiceImplTest.java
└── [4.0K] resources
└── [102K] configWithoutHref.xml
19 directories, 23 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。