Межсайтовый скриптинг при просмотре отчетов в нескольких анализаторах журналов регистрации

Дата публикации:
12.03.2003
Всего просмотров:
778
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость в проверке правильности обнаружена в WebTrends log file analyzer. Удаленный пользователь может выполнить произвольный код сценария в браузере целевого пользователя, просматривающего отчеты.

Infohacking Research сообщил, что удаленный пользователь может установить злонамеренное имя хоста, содержащее HTML код и затем сделать HTTP запрос на целевой сервер. Если целевой сервер выполняет обратный DNS поиск, код сценария будет записан в журнал регистрации Web сервера (в зависимости от конфигурации Web сервера).

Когда целевой пользователь запускает отчет на файл регистрации, произвольный код сценария будет выполнен в браузере целевого пользователя. Уязвимость может использоваться для перехвата опознавательных данных, хранящихся в куки пользователя Пример:

 <script>alert( a )</script>
<script>alert( a )</script>.infohacking.com
<script>alert( a )</script>.infohacking.com
Уязвимость обнаружена в WebTrends Log analazer, SurfStats, WebLog Expert, Logan Pro

Ссылки: Log corruption on multiple webservers, log analyzers,...
или введите имя

CAPTCHA