Netscape4.x Javascript-in-Cookies漏洞发布时间:2000-05-09 更新时间:2000-05-09 严重程度:中 威胁程度:欺骗 错误类型:设计错误 利用方式:客户机模式 受影响系统 Netscape Communicator 4.x详细描述 Netscape Communicator 4.x如果cookie和javascript功能打开的话能允许远程访问本地的HTML文件,包括用户的书签文件和在缓冲区中的文件。这是由于javascript能嵌入在 cookie中写如到cookies.txt并执行,这样的话cookie里的代码将作为本地代码允许进行本地数据交互。攻击者必须知道用户profiel的目录。 测试代码 可以下载下面的程序进行测试: http://www.securityfocus.com/external/http://www. peacefire.org/security/jscookies/ 解决方案 临时解决方法是个关闭JAVASCRIPT和COOKIE。 相关信息 |
