Security Lab

Уязвимость Cross-Site Scripting в Proxomitron

Дата публикации:29.07.2001
Дата изменения:17.10.2006
Всего просмотров:1293
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Proxomitron, позволяет пользователям, использующим специальные HTML фильтры, преобразовать web-страницы на лету - изменять почти все, что они желают, ускоряя при этом загрузку web-страницы. Уязвимость защиты в программе позволяет нападавшим добавлять код JavaScript к коду HTML, посланным отдаленным сайтом.

Если нападавшие посылают следующий URL пользователю, использующему Proxomitron в качестве прокси-сервера:

http: // WWW example.com:9999 / <SCRIPT> document.write (document.domain) < //SCRIPT>

Proxomitron, произведет кое-что вроде этого:

<html><head><title>The Proxomitron Reveals...</title>

...

The Proxomitron couldn't connect to...<br>

<font color=#ffff00 size=+1 >

www.example.com:9999/<SCRIPT>document.write(document.domain)</SCRIPT>

</font><br>

The site may be busy or the web server may be down...

При этом порожденный JavaScript код, будет исполнен.



Уязвимость найдена в Proxomitron Naoko-4 BetaFour.