受影响系统:
Mono Mono 2.x
Mono Mono 1.x
不受影响系统:
Mono Mono 2.6.4
描述:
Mono是基于.NET框架的开源开发平台,允许开发人员构建Linux和跨平台的应用。
Mono所使用的默认ASP.NET配置对EnableViewStateMac属性设置了FALSE值,这允许远程攻击者通过向2.0/menu/menu1.aspx提交特制的__VIEWSTATE参数执行跨站脚本攻击。
<*来源:bob.thomas
链接:https://www.trustwave.com/spiderlabs/advisories/TWSL2010-001.txt
http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2010/04/29/asp-net-cross-site-scripting-followup-mono.aspx
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
建议:
厂商补丁:
Mono
—-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.mono-project.com/Vulnerabilities#ASP.NET_View_State_Cross-Site_Scripting
0 条评论。