Security Lab

Межсайтовый скриптинг при просмотре отчетов в нескольких анализаторах журналов регистрации

Дата публикации:12.03.2003
Всего просмотров:1038
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость в проверке правильности обнаружена в WebTrends log file analyzer. Удаленный пользователь может выполнить произвольный код сценария в браузере целевого пользователя, просматривающего отчеты.

Infohacking Research сообщил, что удаленный пользователь может установить злонамеренное имя хоста, содержащее HTML код и затем сделать HTTP запрос на целевой сервер. Если целевой сервер выполняет обратный DNS поиск, код сценария будет записан в журнал регистрации Web сервера (в зависимости от конфигурации Web сервера).

Когда целевой пользователь запускает отчет на файл регистрации, произвольный код сценария будет выполнен в браузере целевого пользователя. Уязвимость может использоваться для перехвата опознавательных данных, хранящихся в куки пользователя Пример:

 <script>alert( a )</script>
<script>alert( a )</script>.infohacking.com
<script>alert( a )</script>.infohacking.com
Уязвимость обнаружена в WebTrends Log analazer, SurfStats, WebLog Expert, Logan Pro
Ссылки: Log corruption on multiple webservers, log analyzers,...