Mozilla Bonsai存在多个跨站脚本执行攻击漏洞发布时间:2002-08-28 更新时间:2002-08-28 严重程度:中 威胁程度:用户敏感信息泄露 错误类型:输入验证错误 利用方式:客户机模式 BUGTRAQ ID:5516 受影响系统 Mozilla Bonsai 1.3详细描述 Bonsai工具存在多个跨站脚本执行攻击。 Bonsai的cvslog.cgi脚本对用户传递的数据缺少过滤,可导致攻击者构造包含恶意URL的页面,当查看这个URL时,可导致包含的恶意脚本代码在用户浏览器上执行。 测试代码 /bonsai/cvslog.cgi?file=/index.html&rev=<script>alert(document.domain)</script>&root=/cvsroot/ 解决方案 无 相关信息 Stan Bubrouski <stan@ccs.neu.edu>. 参考:http://online.securityfocus.com/archive/1/288163 相关主页:http://www.mozilla.org/bonsai.html |
