Нарушение "same origin policy" в Microsoft Internet Explorer (универсальный cross-site scripting)

Дата публикации:
06.09.2002
Всего просмотров:
797
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Когда MSIE оценивает, нужно ли разрешить доступ между окнами, домен родительского окна сравнивается с дочерним. Уязвимость обнаружена в обработке HTTP имен пользователя, включенных в URL. Если к значению имени пользователя прибавлено "%2f”, MSIE не удалит имя пользователя при проверке “same-origin”. Уязвимость позволяет обойти проверку, если имя пользователя включено в URL, который соответствует домену родительского окна и добавлен в конец с "%2f". Уязвимость позволяет выполнять произвольный код сценария в контексте любого сайта. Пример:
http://www16.brinkster.com/liudieyu/2FforMSIE/2FforMSIE-MyPage.htm 
clik.to/liudieyu ==> 2FforMSIE-MyPage section.
уязвимость обнаружена в Microsoft Internet Explorer 6.0

Ссылки: MSIEv6 % encoding causes a problem again
или введите имя

CAPTCHA