Міжсайтовий скриптінг в Apache
20:25 08.08.200629.07.2006
В веб сервері Apache знайдена серьйозна уразливість (Cross-site scripting).
Використовуючи заголовок Expect: можна впровадити HTML в контекст іншого сайта.
- IBM HTTP Server “Expect” Header Cross-Site Scripting (деталі)
- Apache “Expect” Header Cross-Site Scripting Vulnerability (деталі)
01.08.2006
Додаткова інформація:
- Межсайтовый скриптинг в Web сервере Apache (деталі)
- Межсайтовый скриптинг в IBM HTTP Server (деталі)
Дану уразливість треба буде детально дослідити
08.08.2006
Два дні тому я виклав Apache Expect Exploit призначений для тестування веб серверів з Apache, на наявність вразливості до Expect-бага.
Також компанія Secunia зконструювала тест: expect_header_cross-site_scripting_vulnerability_test. Він працює тільки в Internet Explorer 6.x з встановленим Flash плагіном.
Слід також зазначити що нещодавно вийшли нові версії Apache Web Server (1.3.37, 2.0.59, 2.2.3). В яких виправлена дана помилка, поліпшена функціональність багатьох модулів та усунуті декілька інших незначних уразливостей та проблем.
Зкачати останню версію веб сервера ви можете з сайта виробника (Apache HTTP Server 2.0.59 Unix Source, Apache HTTP Server 2.2.3 Unix Source, Apache 1.3.37 Unix Source, Apache 2.0.59 SSL, Apache 2.2.3 No SSL).