Обход механизмов защиты от XSS и SQL injction нападений в ASP.NET

Дата публикации:
15.09.2003
Всего просмотров:
1615
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:

Уязвимые версии: ASP.NET 1.x

Описание: Уязвимость обнаружена в ASP.NET. Удаленный атакующий может обойти механизмы защиты "Request Validation".

Механизм защиты "Request Validation" используется для защиты Web приложения против XSS и SQL injction нападений. Удаленный атакующий может внедрить NULL байт, чтобы выполнить произвольный контент, включенный в злонамеренный тэг. Проблема связанна с тем, что некоторые браузеры (напр. Internet Explorer), игнорируют NULL байт.

Пример/Эксплоит:

<%00SCRIPT>alert(document.cookie)</SCRIPT>

URL производителя:http://www.microsoft.com

Решение:

Не доверяйте встроенным механизмам защиты от XSS и SQL injection нападений.
или введите имя

CAPTCHA