2

在引用 /xsp/.ibmmodres/XSP/Domino 资源时,似乎可以在 get 请求中注入 javascript。

通常,当您在 .nsf/ 资源中尝试此操作时,您会获得正确的默认或自定义错误页面,而不会出现 XSS 可能性。特殊字符被替换。

示例:- http://[server]/[path]/[dbname].nsf/%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

结果:HTTP Web 服务器:找不到设计元素

但是参考 /xsp/.ibmmodres/ 资源,它会产生 XSS 的可能性。

例子:

  • http://[服务器]/[路径]/[dbname].nsf/xsp/.ibmmmodres/%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

结果:

  • 我收到 404 错误页面“无法加载未注册的资源 /”

  • 它执行 CSJS 并显示例如 DomAuthSessID !

这怎么可能?有没有办法避免这种情况?请帮忙!

4

2 回答 2

2

这是一篇关于如何避免这种情况的文章:

http://www.wissel.net/blog/d6plinks/SHWL-8XS3MY

于 2012-12-21T11:56:17.680 回答
1

检查您的 Domino 版本。它应该在 8.5.3 中修复。FP2(不完全确定)(但肯定是 9.0 Beta)。除此之外,请按照我的说明创建一些网络规则:

Type of rule: HTTP response headers
Incoming URL pattern: */xsp/.ibmxspres/*
HTTP response codes: 404
Expires header: Don't add header
Custom header: Content-Type : text/plain (overwrite)

Type of rule: HTTP response headers
Incoming URL pattern: */xsp/.ibmmodres/*
HTTP response codes: 404
Expires header: Don't add header
Custom header: Content-Type : text/plain (overwrite)
于 2012-12-22T00:47:49.007 回答