Security Lab

Cross-site Scripting в Proxomitron Naoko-4

Дата публикации:24.07.2001
Дата изменения:17.10.2006
Всего просмотров:1662
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Proxomitron Naoko-4 – прокси сервер, с большими возможностями фильтрации HTTP трафика. В нем найдена возможность исполнение кода на стороне сервера.

Пример: При вводе следующего URL в браузере сконфигурированном с использованием Proxomitron в качестве прокси:

http://www.example.com:9999/<SCRIPT>document.write(document.domain)</SCRIPT>



Это заставит Proxomitron произвести ответ подобно этому:

<html><head><title>The Proxomitron Reveals...</title>

...

The Proxomitron couldn't connect to...<br>

<font color=#ffff00 size=+1 >

www.example.com:9999/<SCRIPT>document.write(document.domain)</SCRIPT>

</font><br>

The site may be busy or the web server may be down.

...
И покажет в виде:

Error connecting to site

The Proxomitron couldn't connect to...

www.example.com:9999/www.example.com

The site may be busy or the web server may be down.

Примечательнo - то, что код JavaScript будет выполнен на произвольном указанном домене. Поэтому, злонамеренный код JavaScript, написанный нападавшим может быть выполнен в браузере, и Cookies, выпущенные от произвольного указанного сайта могут быть перехвачены.


Для устранения проблемы скачайте последнюю версию прокси:

http://spywaresucks.org/prox/beta.html