Security Lab

Универсальный XSS в Apache Web сервере

Дата публикации:04.10.2002
Всего просмотров:1265
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: В Apache обнаружена возможность универсального межсайтового скриптинга. Уязвимость связанна с недостаточным санированием ввода пользователя перед созданием страницы ошибки. Атакующий может создать злонамеренную ссылку, при клике на которую снабженный код будет выполнен в контексте apache сайта. Пример:

http://%3CIMG%20SRC%3D%22%22%20ONERROR%3D%22alert%28document%2Ecookie%29%22%3E.apachesite.org/raise_404

Некоторые браузеры сообщают о некорректном заголовке пользователю, при разборе такого запроса:

Host:

<img src="" onerror="alert(document.cookie)">

уязвимость обнаружена в Apache Software Foundation Apache 1.3-1.3.26, 2.0-2.0.42

Ссылки: Apache 2 Cross-Site Scripting