Уязвимость обнаружена в обработке HTTP переадресации в объекте XMLHttpRequest, используемого в Mozilla и Netscape 6. 

Объект XMLHttpRequest позволяет машине клиента получать XML документ через HTTP запрос. Если ответ сервера на этот запрос переадресовывается к местному файлу, то обходятся защитные меры сценария. Уязвимость позволяет раскрывать содержание произвольных местных файлов
любому серверу. Это проблема также затрагивает метод загрузки, применяемый к XML документам, созданных методом createDocument в интерфейсе DOMImplementation. 

Уязвимость обнаружена в Mozilla Browser 0.9.7-1.0, Netscape 6.1-6.2.2.

Пример:

var oXML=new XMLHttpRequest();
oXML.open("GET","getFile.asp",false);
oXML.send(null);
alert(oXML.responseText);

Где getFile.asp перенаправляет на с:\test.txt.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии