| | | 微软ASP.NET存在跨站脚本漏洞 | | 2002-02-09·
· ··金山反病毒资讯网
| 据安全专家Johannes Westerink日前称,拥有众多用户群的微软ASP.NET存在跨站脚本漏洞(CSS)。跨站脚本的Javascript可以在某个站点或电子邮件中放置一恶意URL,若用户点击了该URL,则用户的机器会受到多种方式的入侵,包括爆光共享的东西或获取数据文件,如cookies。JavaScript还可通过恶意的URL在远程服务器上运行,这样将会导致大量潜在的攻击。其中最常见的便是完全路径被爆露的404网页产生。
下面是Westerink发现的一些例子:
http://www.msn.com/~/.aspx?aspxerrorpath=null
http://my.msn.com/~/.aspx?aspxerrorpath=null
http://dotnet.microsoft.com/.aspx
http://terraserver.microsoft.net/.aspx
http://support.microsoft.com/~/.aspx?aspxerrorpath=null
http://office.microsoft.com/~/.aspx?aspxerrorpath=null
http://communities.microsoft.com/~/.aspx
http://uddi.microsoft.com/~/.aspx
Westerink称他在六个月前就向微软反映了此问题,但未得到回应。另外,互联网安全顾问Richard M. Smith也指出,他对微软存在的这个问题进行检查过,而且并被告知在软件最终版本出台之前,这便是一个在ASP.NET中得到修补的最常见的Bug。所以微软确实知道这一事情,但有点忽视,没有对任休人提及,即使Westerink向他们提出后也是一样。他还强调称,目前仍存在该bug的微软各种Web服务器现在运行的是ASP.NET正式发布前的一个版本。看起来,微软似乎在制作补丁及升级包方面仍有点跟不上。
| | | 感谢
访问天极网,如果您觉得该文章涉及版权问题,请看这里!
|
|
