Apaches XSS

Ir viens interesants XSS pasākums uz Apache HTTP servera 413 kļūdu lapām (error pages). Panāk to ar nepareizi veidotu HTTP pieprasījumu.

Te tas Bugtraq: Bugtraq: PR07-37: XSS on Apache HTTP Server 413 error pages via malformed HTTP method.

Īsumā: Sliktais nosūta header ar nepareizu Content-length, Apache atbild ar 413 Request Entity Too Large un parāda savu noklusēto 413 kļūdas lapu (ErrorDocument 413) un tur netiek filtrēti sliktie tagi (tie kas HTML birkas).

Notestēt var ar šādu: PHP skriptu.

Both comments and trackbacks are currently closed.

Komentāri

  • ghey  On Decembris 3, 2007 at 19:32

    eu zikjeri, a kaads tavupraat buutu exploateesanas scenarijs?

%d bloggers like this: