Security Lab

Межсайтовый скриптинг в W3C Jigsaw

Дата публикации:22.08.2002
Всего просмотров:830
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: W3C Jigsaw (http://www.w3.org/Jigsaw/RelNotes.html#2.2.0 ) содержит прокси сервер, написанный в Java.

Когда прокси-сервер не может преобразовать имя домена, клиенту возвращается страница ошибки, в которой включен запрашиваемый URL без предварительного санирования. Нападающий может включить произвольный код сценария, кторый выполнится в возвращенной странице ошибки в пределах контекста требуемого URL.

Пример:

http://nonexistenthost.google.com/
<SCRIPT>document.write(document.cookie)</SCRIPT>
Уязвимость обнаружена в W3C Jigsaw 2.2
Ссылки: W3C Jigsaw Proxy Server: Cross-Site Scripting Vulnerability (REPOST)