Baltimore MailSweeper 脚本过滤存在多个问题发布时间:2001-09-24 更新时间:2001-09-24 严重程度:中 威胁程度:其它 错误类型:意外情况处置错误 利用方式:服务器模式 受影响系统 Baltimore Technologies MailSweeper 4.2详细描述 Baltimore MailSweeper 能够过滤HTML E-MAIL,可以探测和去除HTML EMAIL 中的Javascript和VBScript,其中存在漏洞可以使攻击者绕过管理员设置的 过滤规则。 1)MailSweeper不能正确解析那些在某些HTML标签中包含的"javascript"或者 "vbscript": <A HREF="javascript:alert('This part should be filtered')">Click here</A> 或者: <IMG SRC="javascript:alert('This part should be filtered')"> 2)类似WebSweeper中的漏洞,MailSweeper也存在此漏洞,如: <<IMG SRC="javascript:alert('This part should be filtered')"> 测试代码 见描述 解决方案 尚无 相关信息 http://www.edvicesecurity.com/vul30.htm support@edvicesecurity.com |
