Apache Tomcat “sort＂和＂orderBy”参数跨站脚本执行漏洞

发布日期：2010-11-22
更新日期：2010-12-01受影响系统：
Apache Tomcat 7.0 - 7.0.4
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 45015
CVE ID: CVE-2010-4172Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。Apache Tomcat在实现上存在多个跨站脚本漏洞，攻击者可利用这些漏洞窃取基于Cookie的验证凭据，执行其他更进一步的攻击。软件的sessionList.jsp脚本没有正确检查过滤orderBy和sort参数数据，导致跨站脚本执行问题。<*来源：Adam Muntner of Gotham Digital Science
http://www.linuxidc.com/Linux/2010-12/30268.htm
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！Adam Muntner of Gotham Digital Science提供了如下测试方法：http:/www.example.com/html/sessions？path=/&sort=[xss]建议：
--------------------------------------------------------------------------------
厂商补丁：Apache
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://tomcat.apache.org/SAP NetWeaver SQL Monitor多个跨站脚本执行漏洞Linux Kernel “x25_parse_facilities（）”远程拒绝服务漏洞相关资讯 Apache

Linux+Apache+PHP+Oracle 基础环境（11/23/2015 10:40:55）
Apache httpd 2.4.17 发布下载（10/14/2015 08:57:55）
Apple MacBook搭建Apache多站点（07/08/2015 09:41:46）

聊聊 Apache 开源协议（11/23/2015 10:13:05）
Ubuntu 14.04下 Apache修改网站根（07/29/2015 07:10:18）
25 个有用 Apache ‘.htaccess’ （07/01/2015 18:44:01）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容