在引用/xsp/.ibmmodres/ XSP / Domino资源时,似乎可以在get请求中注入javascript。
通常,当您在.nsf / resources中尝试此操作时,您将获得没有XSS可能性的正确默认或自定义错误。特殊字符被替换。
实施例: - http:// [服务器] / [路径] / [dbname] .nsf /%3Cscript%3Ealert%28document.cookie%29%3C / script%3E
结果: HTTP Web服务器:找不到设计元素
但是引用/xsp/.ibmmodres/资源,它会产生XSS的可能性。
示例:
结果:
我得到404 errorpage“无法加载未注册的资源/”
它执行CSJS并显示例如DomAuthSessID !!
这怎么可能? 有办法避免这种情况吗? 请帮忙!
答案 0 :(得分:2)
这是一篇关于如何避免这种情况的文章:
答案 1 :(得分:1)
检查您的Domino版本。它应该在8.5.3中修复。 FP2(不完全确定)(但绝对是9.0 Beta)。 除此之外follow my instructions并创建一些网络规则:
Type of rule: HTTP response headers
Incoming URL pattern: */xsp/.ibmxspres/*
HTTP response codes: 404
Expires header: Don't add header
Custom header: Content-Type : text/plain (overwrite)
Type of rule: HTTP response headers
Incoming URL pattern: */xsp/.ibmmodres/*
HTTP response codes: 404
Expires header: Don't add header
Custom header: Content-Type : text/plain (overwrite)