NullLogic Null HTTPd错误页面存在跨站脚本执行攻击发布时间:2002-09-10 更新时间:2002-09-10 严重程度:中 威胁程度:用户敏感信息泄露 错误类型:输入验证错误 利用方式:客户机模式 BUGTRAQ ID:5603 受影响系统 NullLogic Null HTTPd 0.5详细描述 NullLogic Null HTTPd是多线程WEB服务程序。 NullLogic Null HTTPd允许攻击者构造一个包含恶意脚本的URL,当产生错误页面返回给目标用户客户端的时候,可导致脚本代码在目标用户的浏览器上执行,导致信息泄露。 测试代码 http://localhost/a?x=<SCRIPT>alert(document.URL)</SCRIPT> 解决方案 无 相关信息 Matthew Murphy <mattmurphy@kc.rr.com>. 参考:http://online.securityfocus.com/archive/1/290091 相关主页:http://freshmeat.net/projects/nullhttpd/?topic_id=250 |
