CGI 汎用 XSS(簡易テスト)
medium Nessus プラグイン ID 39466
Language:
概要
リモート Web サーバーは、クロスサイトスクリプティング攻撃を受けやすくなっています。説明
リモート Web サーバーでホストされる CGI スクリプトは、悪意のある JavaScript を含むリクエスト文字列を適切にサニタイズしません。攻撃者はこの問題を利用することで、影響を受けるサイトのセキュリティコンテキスト内で、任意の HTML やスクリプトコードをユーザーのブラウザで実行できる可能性があります。これらの XSS は通常、「非持続型」または「折り返し型」です。
ソリューション
脆弱なアプリケーションへのアクセスを制限してください。クロスサイトスクリプティングの脆弱性に対処するためのパッチまたはアップグレードについては、ベンダーにお問い合わせください。参考資料
https://en.wikipedia.org/wiki/Cross_site_scripting#Non-persistent
http://www.nessus.org/u?ea9a0369
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
プラグインの詳細
深刻度: Medium
ID: 39466
ファイル名: torture_cgi_cross_site_scripting.nasl
バージョン: 1.45
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2009/6/19
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
必要な KB アイテム: Settings/enable_web_app_tests