Websecurity - Веб безпека

Три дні тому я знайшов уразливість в сервері Apache, коли досліджував безпеку одного веб сайта. Cross-Site Scripting уразливість на сторінці з 404 помилкою - це сторінка 404 Not Found, котра виводиться у випадку, коли запитана сторінка сайта не існує.

XSS:

В URL задається неіснуюча сторінка сайта, адреса якої містить необхідний код:

http://site/%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливим є Apache 2.0.54 (Debian GNU/Linux) Server.

Окрім Cross-Site Scripting атаки, при подібній уразливості також можлива атака Content Spoofing (з метою фішингу).

Подібні проблеми з XSS на 404 сторінках вже траплялися раніше (зокрема в попередніх версіях Апача) і здавалося вони вже канули в минуле. Але виявляється, ще трапляються сайти, де 404 сторінки мають XSS дірки, тому що виводять нефільтруючи адрес запитаної сторінки. Розробникам сервера та адмінам, що їм користуються, варто перерости цю проблему і зробити 404 сторінки безпечними.

This entry was posted on 23:45 11.07.2007 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.