Websecurity - Веб безпека

29.07.2006

В веб сервері Apache знайдена серьйозна уразливість (Cross-Site Scripting).

Використовуючи заголовок Expect: можна впровадити HTML в контекст іншого сайта.

• IBM HTTP Server “Expect” Header Cross-Site Scripting (деталі)
• Apache “Expect” Header Cross-Site Scripting Vulnerability (деталі)

01.08.2006

Додаткова інформація:

• Межсайтовый скриптинг в Web сервере Apache (деталі)
• Межсайтовый скриптинг в IBM HTTP Server (деталі)

Дану уразливість треба буде детально дослідити

08.08.2006

Два дні тому я виклав Apache Expect Exploit призначений для тестування веб серверів з Apache, на наявність вразливості до Expect-бага.

Також компанія Secunia зконструювала тест: expect_header_cross-site_scripting_vulnerability_test. Він працює тільки в Internet Explorer 6.x з встановленим Flash плагіном.

Слід також зазначити що нещодавно вийшли нові версії Apache Web Server (1.3.37, 2.0.59, 2.2.3). В яких виправлена дана помилка, поліпшена функціональність багатьох модулів та усунуті декілька інших незначних уразливостей та проблем.

Зкачати останню версію веб сервера ви можете з сайта виробника (Apache HTTP Server 2.0.59 Unix Source, Apache HTTP Server 2.2.3 Unix Source, Apache 1.3.37 Unix Source, Apache 2.0.59 SSL, Apache 2.2.3 No SSL).

This entry was posted on 20:25 08.08.2006 and is filed under Уразливості, Помилки. You can follow any responses to this entry through the RSS 2.0 feed.