Межсайтовый скриптинг через HTTP заголовок Via в Microsoft ISA сервере

19.05.2003 | 15:23
Уязвимость в проверке правильности ввода обнаружена в Microsoft Internet Security and Acceleration (ISA) Server. Удаленный пользователь может выполнить XSS нападение против пользователей в сети, в которой используется ISA сервер. Нападение может быть выполнено против любого домена.

Сообщается, что удаленный пользователь может создать специально сформированный HTTP запрос, который заставит ISA Server сгенерировать страницу ошибки. Удаленный пользователь может внедрить произвольный HTML код, включая Javascript код, в HTTP заголовок 'Via'.

Когда целевой пользователь выполняет HTTP запрос, страница ошибки ISA сервера отобразит HTML или JavaScript код, представленный пользователем, будет выполнен в браузере целевого пользователя, в контексте безопасности запрашиваемого домена. В результате код может обратиться к куки целевого пользователя.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код