Security Lab

Межсайтовый скриптинг при 302 ошибке в IIS 4.0-5.1

Дата публикации:12.04.2002
Всего просмотров:1233
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Microsoft Internet Information Server/Services (IIS) уязвим к межсайтовому скриптингу.

Когда запрос представлен IIS, 302 ошибка "Object Moved" возвращается клиенту без изменения метасимволов, содержащихся в запросе. Это происходит, когда запрос содержит следующий URI:

GET /existing directory name?"><script>alert("aaa"); </script>

Уязвимость найдена в IIS 4.0-5.1

Ссылки: Источник

http://owasp.securitylab.ru/?ID=27419