CVE-2013-6430 Spring mvc xss学习和分析

介绍

Spring mvc历史上爆过一个xss漏洞,编号为CVE-2013-6430。分析过程真的是简单,没处理<>等字符,毕竟13年的洞,所以那会过滤什么的都考虑不全。

漏洞描述

官方的介绍很详细,https://jira.spring.io/browse/SPR-9983 补丁也浅显易懂。https://github.com/spring-projects/spring-framework/commit/7a7df6637478607bef0277bf52a4e0a03e20a248,增强了对<>的过滤。

补丁分析

总结

本次分析太水