xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

ICQ WEB Portal 存在多个cross site 脚本漏洞


发布时间:2001-09-21
更新时间:2001-09-21
严重程度:
威胁程度:服务器信息泄露
错误类型:输入验证错误
利用方式:服务器模式

受影响系统
icq portal
详细描述
ICQ WEB portal 没有很好的检查恶意HTML 标志或者脚本,用户提交带有脚本的URL可以被WEB portal执行。其中问题存在在搜索脚本:http://search.icq.com/dirsearch.adp 没有检查匿名的恶意HTML或者JAVA SCRIPT代码。

测试代码
--[ Exemple 1 ]--
http://search.icq.com/dirsearch.adp?query=>Hello
!</h1><script>alert('hello');</script>est&wh=is&users=1


Screen Shots :
http://www.isecurelabs.com/advisory/icq1.jpg
http://www.isecurelabs.com/advisory/icq2.jpg


--[ Exemple 2 ]--
http://web.icq.com/foo/>alert('hello');</script>


Screen Shots :
http://www.isecurelabs.com/advisory/icq3.jpg
http://www.isecurelabs.com/advisory/icq4.jpg

解决方案
尚无

相关信息
acz [iSecureLabs] (aurelien.cabezon@iSecureLabs.com)
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved