Proxomitron存在cross-site脚本问题发布时间:2001-07-30 更新时间:2001-07-30 严重程度:中 威胁程度:其它 错误类型:访问验证错误 利用方式:客户机模式 受影响系统 Proxomitron Naoko-4 BetaFour和之前的版本详细描述 Proxomitron(http://spywaresucks.org/prox/)以内许用户使用指定 HTML过滤,来传输WEB页面,其中存在一个漏洞允许攻击者插入JAVASCRIPT 代码到HTML 并通过远程站点提交给浏览者。 测试代码 如果攻击者把Proxomitron作为代理发送下面的URL给用户: http://www.example.com:9999/<SCRIPT>document.write(document.domain)</SCRIPT> Proxomitron会产生如下信息: <html><head><title>The Proxomitron Reveals...</title> ... The Proxomitron couldn't connect to...<br> <font color=#ffff00 size=+1 > www.example.com:9999/<SCRIPT>document.write(document.domain)</SCRIPT> </font><br> 站点会变的忙或者WEB服务程序会停止,导致JavaScript被执行, 因此恶意JAVASCRITP代码可以被执行。 解决方案 尚无 相关信息 Takagi at etl.go.jp |
