Security Lab

Межсайтовый скриптинг в cFreeProxy

Дата публикации:27.11.2002
Всего просмотров:1136
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: acFreeProxy 1.x
Описание: cFreeProxy (a.k.a. " acFP") - HTTP/1.x кэширующий прокси сервер для Microsoft Windows. Обнаруженная уязвимость позволяет атакующему выполнять код сценария в произвольном домене.

Прокси-сервер может генерировать сообщение об ошибке, если хост не доступен или по некоторым другим причинам. Страница ошибки, сгенерированная в течение этого процесса не проверяет правильность введенных данных, и уязвима к межсайтовому скриптингу. Это позволяет нападающему вводить код сценария в любой сайт, который жертва может посетить, потому что эта проблема находится в прокси-сервере, а не на определенном сайте. Пример:

http://www.hotmail.com:41997/
%3CSCRIPT%3Ealert%28document%3EURL%29%3C/SCRIPT%3E/
Уязвимость обнаружена в acFP version 1.33-beta7
Ссылки: acFreeProxy Cross-Site Scripting Vulnerability