关联漏洞
标题:
JavaMelody ‘X-Forwarded-For’ Header 跨站脚本漏洞
(CVE-2013-4378)
描述:JavaMelody是一套Java应用监控工具。该工具能够在QA和实际运行生产环境中监测Java或Java EE应用程序服务器,并以图表的形式显示Java内存和Java CPU使用情况、用户Session数量等。 JavaMelody 1.46及更早版本中的HtmlSessionInformationsReport.java文件中存在跨站脚本漏洞。远程攻击者可借助特制的X-Forwarded-For头文件利用该漏洞注入任意Web脚本或HTML。
描述
Grails sample application using the Javamelody 1.44 plugin to illustrate the CVE-2013-4378 vulnerability.
介绍
Grails Javamelody Sample App
============================
Grails sample application using the <a href="http://grails.org/plugin/grails-melody">Javamelody
plugin</a> (version 1.44) to illustrate the <a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4378">CVE-2013-4378 vulnerability</a>.
文件快照
[4.0K] /data/pocs/6f8e4f19b14fd85642b210d32616446d0a140e2d
├── [ 132] application.properties
├── [4.0K] grails-app
│ ├── [4.0K] conf
│ │ ├── [ 78] ApplicationResources.groovy
│ │ ├── [ 339] BootStrap.groovy
│ │ ├── [2.5K] BuildConfig.groovy
│ │ ├── [4.1K] Config.groovy
│ │ ├── [1.2K] DataSource.groovy
│ │ ├── [1.0K] GrailsMelodyConfig.groovy
│ │ ├── [4.0K] spring
│ │ │ └── [ 47] resources.groovy
│ │ └── [ 180] UrlMappings.groovy
│ ├── [4.0K] controllers
│ │ ├── [4.0K] es
│ │ │ └── [4.0K] codemotion
│ │ │ └── [4.0K] grailsxss
│ │ │ └── [3.5K] BookController.groovy
│ │ ├── [3.9K] LoginController.groovy
│ │ └── [ 356] LogoutController.groovy
│ ├── [4.0K] domain
│ │ └── [4.0K] es
│ │ └── [4.0K] codemotion
│ │ └── [4.0K] grailsxss
│ │ ├── [ 207] Book.groovy
│ │ ├── [ 171] Role.groovy
│ │ ├── [ 667] User.groovy
│ │ └── [1.2K] UserRole.groovy
│ ├── [4.0K] i18n
│ │ ├── [3.4K] messages_cs_CZ.properties
│ │ ├── [3.3K] messages_da.properties
│ │ ├── [3.7K] messages_de.properties
│ │ ├── [3.4K] messages_es.properties
│ │ ├── [2.0K] messages_fr.properties
│ │ ├── [3.5K] messages_it.properties
│ │ ├── [3.9K] messages_ja.properties
│ │ ├── [3.2K] messages_nb.properties
│ │ ├── [3.3K] messages_nl.properties
│ │ ├── [3.6K] messages_pl.properties
│ │ ├── [3.3K] messages.properties
│ │ ├── [3.4K] messages_pt_BR.properties
│ │ ├── [2.7K] messages_pt_PT.properties
│ │ ├── [3.8K] messages_ru.properties
│ │ ├── [3.4K] messages_sv.properties
│ │ ├── [6.1K] messages_th.properties
│ │ └── [2.1K] messages_zh_CN.properties
│ └── [4.0K] views
│ ├── [4.0K] book
│ │ ├── [1.6K] create.gsp
│ │ ├── [2.1K] edit.gsp
│ │ ├── [ 861] _form.gsp
│ │ ├── [1.9K] list.gsp
│ │ └── [2.7K] show.gsp
│ ├── [ 499] error.gsp
│ ├── [3.2K] index.gsp
│ ├── [4.0K] layouts
│ │ └── [1.6K] main.gsp
│ └── [4.0K] login
│ ├── [2.1K] auth.gsp
│ └── [ 237] denied.gsp
├── [ 306] README.md
├── [4.0K] test
│ └── [4.0K] unit
│ └── [4.0K] es
│ └── [4.0K] codemotion
│ └── [4.0K] grailsxss
│ ├── [3.3K] BookControllerTests.groovy
│ └── [ 286] BookTests.groovy
└── [4.0K] web-app
├── [4.0K] css
│ ├── [1.7K] errors.css
│ ├── [ 11K] main.css
│ └── [1.4K] mobile.css
├── [4.0K] images
│ ├── [5.3K] apple-touch-icon.png
│ ├── [ 15K] apple-touch-icon-retina.png
│ ├── [9.9K] favicon.ico
│ ├── [7.9K] grails_logo.jpg
│ ├── [9.9K] grails_logo.png
│ ├── [3.8K] leftnav_btm.png
│ ├── [2.8K] leftnav_midstretch.png
│ ├── [3.2K] leftnav_top.png
│ ├── [4.0K] skin
│ │ ├── [ 658] database_add.png
│ │ ├── [ 659] database_delete.png
│ │ ├── [ 767] database_edit.png
│ │ ├── [ 755] database_save.png
│ │ ├── [ 726] database_table.png
│ │ ├── [ 701] exclamation.png
│ │ ├── [ 806] house.png
│ │ ├── [ 778] information.png
│ │ ├── [ 300] shadow.jpg
│ │ ├── [ 835] sorted_asc.gif
│ │ └── [ 834] sorted_desc.gif
│ ├── [2.0K] spinner.gif
│ └── [8.9K] springsource.png
├── [4.0K] js
│ └── [ 183] application.js
└── [4.0K] WEB-INF
├── [1.4K] applicationContext.xml
├── [ 614] sitemesh.xml
└── [4.0K] tld
├── [ 16K] c.tld
├── [ 19K] fmt.tld
├── [ 18K] grails.tld
└── [7.1K] spring.tld
28 directories, 77 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。