CGI 汎用 XSS(HTTP ヘッダー)
low Nessus プラグイン ID 46193
Language:
概要
リモート Web サーバーは、クロスサイトスクリプティング攻撃を受けやすくなっています。説明
リモート Web サーバーは、悪意のある JavaScript の HTTP ヘッダーを適切にサニタイズできない CGI スクリプトをホストしています。攻撃者はこの問題を利用することで、影響を受けるサイトのセキュリティコンテキスト内で、任意の HTML およびスクリプトコードをユーザーのブラウザで実行できることがあります。注意:HTTP ヘッダーを注入するには、追加の欠陥、または(Flash アプレットのような)特別なベクトルが必要です。注意:これらのクロスサイトスクリプティングの脆弱性は、「非持続型」である可能性が強いです。これは「折り返し型」とも呼ばれます。
ソリューション
パッチまたはアップグレードについては、ベンダーにお問い合わせください。参考資料
https://en.wikipedia.org/wiki/Cross_site_scripting#Non-persistent
http://capec.mitre.org/data/definitions/86.html
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
プラグインの詳細
深刻度: Low
ID: 46193
ファイル名: torture_cgi_XSS_headers.nasl
バージョン: 1.29
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2010/4/30
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Low
基本値: 2.6
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
脆弱性情報
必要な KB アイテム: Settings/enable_web_app_tests