Обход механизмов защиты от XSS и SQL injction нападений в ASP.NET
| Дата публикации: | 15.09.2003 |
| Всего просмотров: | 2194 |
| Опасность: | Низкая |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
Уязвимые версии: ASP.NET 1.x Описание: Уязвимость обнаружена в ASP.NET. Удаленный атакующий может обойти механизмы защиты "Request Validation". Механизм защиты "Request Validation" используется для защиты Web приложения против XSS и SQL injction нападений. Удаленный атакующий может внедрить NULL байт, чтобы выполнить произвольный контент, включенный в злонамеренный тэг. Проблема связанна с тем, что некоторые браузеры (напр. Internet Explorer), игнорируют NULL байт. Пример/Эксплоит: <%00SCRIPT>alert(document.cookie)</SCRIPT> URL производителя:http://www.microsoft.com Решение: Не доверяйте встроенным механизмам защиты от XSS и SQL injection нападений. |