首页 -> 安全研究

安全研究

安全漏洞
Webster HTTP Server跨站脚本执行漏洞

发布日期:2002-12-01
更新日期:2002-12-04

受影响系统:
Webster HTTP
描述:
Webster HTTP是一款使用MFC由C++编写的HTTP/1.0服务程序。

Webster HTTP没有正确过滤用户提交的URI请求中路径名的数据,远程攻击者可以利用这个漏洞构建包含恶意脚本代码的URI链接,诱使用户点击,可导致恶意脚本代码在用户浏览器中执行。

如果用户提交的路径名包含HTML标记,服务器在返回用户的时候可导致HTML代码在用户浏览器上执行。攻击者可以构建包含恶意脚本代码链接的页面,诱使用户点击,当脚本在用户浏览器上执行的时造成基于认证的Cookie等信息泄露,或进行其他非法活动。

<*来源:Matthew Murphy (mattmurphy@kc.rr.com
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103884335930492&w=2
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Matthew Murphy (mattmurphy@kc.rr.com)提供了如下测试方法:

http://websterhost.edu/<SCRIPT>/

建议:
厂商补丁:

Webster
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.netdave.com/webster/webster.htm

浏览次数:3210
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客