漏洞起因
输入验证错误
影响系统
Apache Software Foundation Tomcat 3.2.1
Apache Software Foundation Tomcat 3.2
Apache Software Foundation Tomcat 3.1.1
Apache Software Foundation Tomcat 3.1
Apache Software Foundation Tomcat 3.0
不受影响系统
Apache Software Foundation Tomcat 6.0
Apache Software Foundation Tomcat 5.5
Apache Software Foundation Tomcat 4.1
Apache Software Foundation Tomcat 3.2.3
Apache Software Foundation Tomcat 3.2.2 beta2
危害
远程攻击者可以利用漏洞进行跨站脚本攻击获得敏感信息。
攻击所需条件
攻击者必须访问Apache Tomcat。
漏洞信息
Apache Tomcat是一款开放源码的JSP应用服务器程序。
Apache Tomcat不正确过滤用户输入,远程攻击者可以利用漏洞进行跨站脚本攻击,获得敏感信息。
由于不正确处理404错误页面,在返回给用户后,可导致恶意脚本代码在目标浏览器上执行,泄漏敏感信息。
测试方法
http://www.example.com/?offset=1&cid=1&limit=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://www.example.com/?offset=1&cid=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://www.example.com/?offset=%3Cscript%3Ealert(document.cookie)%3C/script%3E&cid=1
厂商解决方案
用户可联系供应商获得最新版本:
http://tomcat.apache.org/
漏洞提供者
MustLive
0 条评论。