Межсайтовый скриптинг в Apache

03.10.2002 | 15:27
Обнаружена XSS (Cross-site scripting)-уязвимость в популярном веб-сервере Apache версий 2.0 (до 2.0.43) и 1.3 (до 1.3.26).

При отключённой опции UseCanonicalName и поддержке шаблонов (wildcard) DNS удалённый атакующий имеет возможность выполнения скрипта от имени другого посетителя веб-страницы сервера, сформировав соответствующий заголовок в HTTP-запросе "Host:".

Уязвимость связана с некорректной обработкой фильтром Apache HTML-кодов до передачи их браузеру. Происходит это при выдаче сообщения 404 сервером.

Apache Software Foundation выпустил новую версию Apache-2.0.43.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код