CGI ジェネリックオープンリダイレクト
medium Nessus プラグイン ID 47834
Language:
概要
Web アプリケーションが制御されないリダイレクトに脆弱である可能性があります。説明
特別に細工されたパラメーターを CGI に提供することにより、Nessus はサードパーティの Web サイトにリダイレクトすることができました。リダイレクトは一般的に使用されているため、異常なことが発生していることにユーザーが気付かない可能性があります。
この種の攻撃は、認証情報に代表される機密データを盗むために利用される可能性があります(フィッシング)。
ソリューション
引数を適切にエスケープするように、関連する CGI を変更してください。参考資料
https://en.wikipedia.org/wiki/URL_redirection#Manipulating_visitors
プラグインの詳細
深刻度: Medium
ID: 47834
ファイル名: torture_cgi_redirection.nasl
バージョン: 1.20
タイプ: remote
ファミリー: CGI abuses
公開日: 2010/7/26
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
脆弱性情報
必要な KB アイテム: Settings/enable_web_app_tests