安全研究
安全漏洞
Oracle HTTP Server isqlplus 跨站脚本漏洞
发布日期:2004-01-24
更新日期:2004-01-24
受影响系统:Oracle Oracle HTTP Server 9.2 .0
Oracle Oracle HTTP Server 9.0.1
Oracle Oracle HTTP Server 8.1.7
描述:
BUGTRAQ ID:
9484
CVE(CAN) ID:
CVE-2004-2115
Oracle HTTP Server是Oracle Fusion Middleware的Web服务器组件,提供了HTTP监听器。
Oracle HTTP Server允许远程攻击者通过isqlplus请求内的(1) action, (2) username,(3) password参数执行任意脚本。
<*来源:Rafel Ivgi (
nuritrv18@bezeqint.net)
链接:
http://xforce.iss.net/xforce/xfdb/14930
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://&lt;host&gt;/isqlplus?action=logon&amp;username=sdfds%22%3e%3cscript%3ealert('XSS')%3c/script%3e\&amp;password=dsfsd%3cscript%3ealert('XSS')%3c/script%3e
http://&lt;host&gt;/isqlplus?action=&lt;script&gt;alert('XSS')&lt;/script&gt;
建议:
厂商补丁:
Oracle
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com/technetwork/middleware/ias/index-091236.html浏览次数:2945
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |