CacheFlow CacheOS不能解析域名存在跨站脚本执行攻击发布时间:2002-07-27 更新时间:2002-07-27 严重程度:中 威胁程度:用户敏感信息泄露 错误类型:输入验证错误 利用方式:客户机模式 BUGTRAQ ID:5305 受影响系统 CacheFlow CacheOS 3.1.17详细描述 CacheOS是设计用于CacheFlow web cache系统的固件。 在处理不能解析主机错误页面时对用户提供的数据缺少正确处理,攻击者可以构建一合法站点但不存在的子域名连接并包含恶意代码,当其他用户浏览此连接的时候,可导致恶意代码在用户浏览器中执行,使用户信息泄露。 测试代码 http://dummy.example.com/<script>EVIL CODE</script> 解决方案 下载使用CacheOS 4.1.07版本: http://www.cacheflow.com/index.cfm 相关信息 "T.Suzuki" <tss@sccs.chukyo-u.ac.jp>. 参考:http://online.securityfocus.com/archive/1/284143 http://download.cacheflow.com/release/CA/4.1.00-docs/CACacheOS41fixes.htm |
