Межсайтовый скриптинг в VisNetic WebSite
| Дата публикации: | 17.12.2002 |
| Всего просмотров: | 1124 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | VisNetic WebSite 3.x |
| Описание: | VisNetic WebSite – безопасный, масштабируемый Web сервер для Windows систем. VisNetic WebSite возвращает настроенную 404 страницу, когда запрашиваемая страница не существует. Эти 404 страницы содержат ссылку к последней посещенной Web странице, на которую пользователь может кликнуть, чтобы вернуться обратно. Эта ссылка берется из HTTP заголовка 'Referer', который посылается автоматически Web браузером. Запрашивая несуществующую страницу, и добавляя злонамеренный Javascript код в HTTP заголовок 'Referer', нападающий может заставить приложение возвратить JavaScript код к web-браузеру, где он будет выполнен. Уязвимость может использоваться для кражи чувствительных данных, хранящихся в куки, и для организации различных нападений против Web приложения. Пример:
GET /NonExistentPage.html HTTP/1.0
Host: TARGET
Accept: */*
Accept-Language: en-us
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Referer: "></a><script>alert('Cross Site Scripting')</script>
уязвимость обнаружена в VisNetic WebSite (3.5.15)
|
| Ссылки: | Visnetic WebSite XSS vulnerability through HTTP Referer header |