CGI の一般的な XSS(持続型、3rd Pass)
medium Nessus プラグイン ID 52483
Language:
概要
リモート Web サーバーでホストされている CGI アプリケーションは、クロスサイトスクリプティング攻撃を受ける可能性があります。説明
リモート Web サーバーは、1 つ以上の CGI スクリプトをホストしており、悪意のある JavaScript を含むリクエスト文字列を適切に削除できません。攻撃者はこの問題を利用することで、影響を受けるサイトのセキュリティコンテキスト内で、任意の HTML およびスクリプトコードをユーザーのブラウザで実行できることがあります。このスクリプトは、「折り返し型」(別名「非持続型」)XSS をテストするために注入されたパターンを特定します。結局のところ、問題は「持続型」(または「蓄積型」)である可能性が高いです。
ソリューション
脆弱なアプリケーションへのアクセスを制限した上で、パッチまたはアップグレードについてベンダーにお問い合わせください。参考資料
https://en.wikipedia.org/wiki/Cross_site_scripting#Persistent
http://projects.webappsec.org/w/page/13246920/Cross%20Site%20Scripting
プラグインの詳細
深刻度: Medium
ID: 52483
ファイル名: torture_cgi_persistent_XSS3.nasl
バージョン: 1.13
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2011/3/1
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
必要な KB アイテム: Settings/enable_web_app_tests