漏洞起因
设计错误
危险等级
低
影响系统
Microsoft Anti-Cross Site Scripting Library 4.0
Microsoft Anti-Cross Site Scripting Library 3
不受影响系统
危害
远程攻击者可以利用漏洞绕过过滤器进行跨站脚本攻击,获得敏感信息。
攻击所需条件
攻击者必须构建恶意连接,诱使用户打开。
漏洞信息
Microsoft AntiXSS是Microsoft开发的一个保护基于ASP.NET网络应用免受Cross Site攻击的编码库。
当解析转义的CSS内容时Microsoft AntiXSS库过滤模块存在错误,可被利用进行跨站脚本攻击。攻击者可以通过过滤函数传递恶意脚本获得敏感信息等。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://technet.microsoft.com/en-us/security/bulletin/MS12-007
漏洞提供者
Adi Cohen of IBM Rational Application Security
评论关闭。