Кросс-сайтовый скриптинг в Macromedia Sitespring

18.07.2002 | 15:26
В Macromedia Sitespring V1.2.0(277.1) под Windows 2000 Server обнаружена уязвимость, позволяющая атакующему осуществлять межсайтовый скриптинг на основе стандартной страницы HTTP 500 Error.

Скрипт, который по умолчанию обрабатывает ошибку HTTP 500, не проверяет содержимое параметра et (error ticket). Это делает возможным внедрение в URL java-скрипта.

В качестве решения проблемы рекомендуется заменить стандартный скрипт ошибки на собственную страницу. Для этого можно создать обычную html страницу для 500 Error и затем переименовать ее в .jsp файл.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://online.securityfocus.com
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код