CGI 汎用 HTML インジェクション(簡易テスト)
medium Nessus プラグイン ID 49067
Language:
概要
リモート Web サーバーは HTML インジェクションに脆弱な可能性があります。説明
リモート Web サーバーは、CGI スクリプトをホストしていますが、悪意のある JavaScript のあるリクエスト文字列を適切にサニタイズできません。攻撃者はこの問題を利用することで、影響を受けるサイトのセキュリティコンテキスト内で、任意の HTML をユーザーのブラウザで実行する可能性があります。リモート Web サーバーは、IFRAME インジェクションまたはクロスサイトスクリプティング攻撃に脆弱な可能性があります:
- IFRAME インジェクションのために、「仮想表示変更」が発生して gullible ユーザーを困惑させる可能性があります。こうしたインジェクションは、「フィッシング」攻撃のために行われることがあります。
- XSS は、4 つの他のスクリプトにより広範囲にテストされています。
- 一部のアプリケーション(Web フォーラムなど)は、何ら悪影響なしに HTML のサブセットに権限を与えます。この場合は、この警告は無視してください。
ソリューション
脆弱なアプリケーションへのアクセスを制限するか、または更新についてベンダーにお問い合わせください。参考資料
プラグインの詳細
深刻度: Medium
ID: 49067
ファイル名: torture_cgi_inject_html.nasl
バージョン: 1.16
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2010/9/1
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
必要な KB アイテム: Settings/enable_web_app_tests