ht://Check Web Header存在脚本插入漏洞发布时间:2002-09-18 更新时间:2002-09-18 严重程度:中 威胁程度:用户敏感信息泄露 错误类型:输入验证错误 利用方式:客户机模式 BUGTRAQ ID:5699 受影响系统 Gabriele Bartolini ht://Check 1.1详细描述 ht://Check是ht://Dig的连接检查程序,它可以通过HTTP/1.1接收信息并存储信息到MYSQL数据库中。 ht://Check PHP接口由于没有检查"Server:" headers部分中的HTML标记,攻击者可以插入任意脚本代码到"Server:" headers字段中,当其他用户查看时,导致脚本在用户浏览器中执行。 测试代码 无 解决方案 无 相关信息 Ulf Harnhammar <ulfh@update.uu.se>. 参考:http://online.securityfocus.com/archive/1/291515 http://htcheck.sourceforge.net/ |
