受影响系统:
NoScript NoScript < 2.0.5.1
NoScript NoScript 2.0.6
不受影响系统:
NoScript NoScript 2.0.5.1
描述:
NoScript Firefox extension是一款免费的开源插件,提供对Firefox、Seamonkey和其他基于Mozilla浏览器的额外保护。
NoScript的实现上存在漏洞,远程攻击者可利用此漏洞绕过反射式XSS保护。
在通过SQLXSSI发动攻击时,NoScript未能从受信任的域中检测到反射式XSS。通过利用浏览器中的错误信息机制发动Union SQL投毒攻击而导致的“Reflective XSS”可成功地绕过NoScript。
<*来源:Aditya K Sood | Rohit Bansal of SecNiche Security
链接:http://marc.info/?l=bugtraq&m=129071381520434&w=2
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Aditya K Sood | Rohit Bansal of SecNiche Security ()提供了如下测试方法:
http://www.example.com/news.php?news=12%27union%20select%201,2,3,4,5,6,7,0x3c736372697 \
0743e616c657274282f73636861702f293c2f7363726970743e,9,10,11,12,version%28%29%20from%20 \
tbl_news–+
建议:
厂商补丁:
NoScript
——–
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
0 条评论。