Squid HTTPd Proxy 允许插入任意HTML代码发布时间:2001-07-23 更新时间:2001-07-23 严重程度:高 威胁程度:其它 错误类型:输入验证错误 利用方式:客户机模式 受影响系统 Squid version 2.3.STABLE4 和之前版本详细描述 Squid是一个高性能代理软件,支持FTP,GOPHER和HTTP DATA OBJECT, 其中存在一个安全漏洞可以导致攻击者在响应中插入任意HTML代码然后 发送回用户。允许攻击者发回JAVASCRIPT,HTML重定向等。 测试代码 http://www.example.com/<b>test</b> 解决方案 采用补丁: http://www.squid-cache.org/Versions/v2/2.4/diff-2.4.DEVEL4-2.4.PRE-STABLE.gz http://www.squid-cache.org/Versions/v2/2.3/diff-2.3.STABLE4-2.3.STABLE5.gz 相关信息 pnasrat at uk.now.com |
