Отправляет email-рассылки с помощью сервиса Sendsay

Oxygen3 24h-365d

  Все выпуски  

Oxygen3 24h-365d Кросс-сайтовый скриптинг в D-Link DSA-3100 Router


        “Salamanca не может улучшить то, что не обеспечила Природа”

          Девиз университета Salamanca, основанного в 1218

    (30 мая 1965 года – 1-й чернокожий выпускник Алабамского университета)

 

         - Кросс-сайтовый скриптинг в D-Link DSA-3100 Router -

Oxygen3 24h-365d от Panda Software Russia (http://www.viruslab.ru)

Екатеринбург, 01 июня 2006 – Найдена уязвимость в маршрутизаторе D-Link DSA-3100, способная позволить удаленному пользователю конструировать атаки кросс-сайтового скриптинга.

Проблема заключается в некорректной фильтрации скриптом 'login_error.shtml' кода HTML из вводимых пользователем данных в параметре ‘uname’ прежде, чем отображать вводимые данные. Удаленный пользователь может создать специальным образом сконструированный URL который, при загрузке пользователем, может вызвать запуск произвольного скриптингового кода.

Код исходит из интерфейса маршрутизатора D-Link и запускается в контексте безопасности устройства. В результате код может выполнять доступ к cookie-файлам целевого пользователя (включая cookie авторизации), ассоциированным с устройством, просматривать данные, недавно введенные целевым пользователем в устройство с помощью веб-формы, или выполнять действия на устройстве, действуя в качестве целевого пользователя.

Бюллетень доступен по адресу: http://www.securitytracker.com/alerts/2006/May/1016173.html.

------------------------------------------------------------

Убедитесь, что на Вашем компьютере нет вирусов, шпионских программ и других Интернет-угроз с помощью бесплатного онлайнового решения Panda ActiveScan (http://www.viruslab.ru/service/check/)

 


В избранное