Уязвимость Cross-Site Scripting в Proxomitron

Proxomitron позволяет пользователям, использующим специальные HTML фильтры, преобразовать web-страницы на лету - изменять почти все, что они желают, ускоряя при этом загрузку web-страницы. Уязвимость защиты в программе позволяет нападавшим добавлять код JavaScript к коду HTML,
посланному отдаленным сайтом.

Если нападавшие посылают следующий URL пользователю, использующему Proxomitron в качестве прокси-сервера:

http://WWW.example.com:9999/<SCRIPT> document.write(document.domain)<//SCRIPT>

Proxomitron произведет кое-что вроде этого:

<html><head><title>The Proxomitron Reveals...</title>
...
The Proxomitron couldn't connect to...<br>
<font color=#ffff00 size=+1 >
www.example.com:9999/<SCRIPT>document.write(document.domain)</SCRIPT>
</font><br>
The site may be busy or the web server may be down...

При этом порожденный JavaScript код будет исполнен.
Уязвимость найдена в Proxomitron Naoko-4 BetaFour.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.