スポンサーリンク

最近、 HTTPサーバの Apache 2.2.8, 2.0.63, 1.3.41 がリリースされました。
Apache モジュールのmod_statusにXSS(クロスサイトスクリプティング)の問題が修正されました。

mod_status は、apacheの統計情報のステータスを見るためのモジュールです。

server-status は、クエリストリングに refresh=1 をつけるとページを1秒おきにリロードしてくれます。

/server-status?refresh=1


今回のXSS脆弱性は、

/server-status?refresh=1;javascript:alert(0)

とやるとURLのクエリストリングの JavaScript が実行できました。

普通は、 /server-status を外に公開することはないので、たいした問題ではないと思いますが。色々、都合で公開しちゃっている場合もあるので、公開している場合には、apacheを最新版にすることをお勧めします。

いつものことながら、入力を信じてはいけません。

参照しているページ (サイト内): [2008-08-02-1]

スポンサーリンク
スポンサーリンク
 
いつもシェア、ありがとうございます!


もっと情報を探しませんか?

関連記事

最近の記事

人気のページ

スポンサーリンク
 

過去ログ

2020 : 01 02 03 04 05 06 07 08 09 10 11 12
2019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12

サイト

Vim入門

C言語入門

C++入門

JavaScript/Node.js入門

Python入門

FreeBSD入門

Ubuntu入門

セキュリティ入門

パソコン自作入門

ブログ

トップ


プライバシーポリシー