29 Июня 2005 10:06 29 Июн 2005 10:06 |

Поделиться

В популярном asp-портале найдены уязвимости

Межсайтовый скриптинг возможен из-за недостаточной обработки параметра email в сценарии forgot_password.asp и в нескольких параметрах сценария register.asp. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML-сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Атака HTTP Response Splitting возможна из-за недостаточной обработки параметра LangCode в сценарии language_select.asp. Удаленный пользователь может с помощью специально сформированного запроса подменить содержимое страниц сайта и «отравить» кэш промежуточных прокси-серверов.

Александр Бабкин, Газпромбанк: Сейчас иностранные ИБ-решения в Газпромбанке замещены на 65%

безопасность

SQL-инъекция возможна из-за недостаточной обработки входных данных в параметре TaskID сценария comment_post.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных приложения.

Уязвима программа ASP Nuke 0.80 и более ранние версии. Для использования «дыр» есть эксплойт. В настоящее время способов устранения проблемы не существует, сообщил Securitylab.

Поделиться

Подписаться на новости Короткая ссылка