Monkey HTTP Daemon 'dirlisting'插件跨站脚本漏洞

发布日期:2013-06-14
更新日期:2013-06-19

受影响系统:
Monkey Monkey HTTP Daemon 0.9.3
 Monkey Monkey HTTP Daemon 0.8.2
 Monkey Monkey HTTP Daemon 0.8.1
 Monkey Monkey HTTP Daemon 0.8
 Monkey Monkey HTTP Daemon 0.7.2
 Monkey Monkey HTTP Daemon 0.7.1
 Monkey Monkey HTTP Daemon 0.7.0
 Monkey Monkey HTTP Daemon 0.6.2
 Monkey Monkey HTTP Daemon 0.6.1
 Monkey Monkey HTTP Daemon 0.6
 Monkey Monkey HTTP Daemon 0.5.1
 Monkey Monkey HTTP Daemon 0.5
 Monkey Monkey HTTP Daemon 0.4.2
 Monkey Monkey HTTP Daemon 0.4.1
 Monkey Monkey HTTP Daemon 0.4
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 60564
 CVE(CAN) ID: CVE-2013-2181
 
Monkey HTTP Daemon是适用于GNU/Linux的轻量级Web服务器。
 
Monkey HTTP Daemon的dirlisting插件存在安全漏洞,在打印HTML页面时没有过滤文件名,攻击者可利用此漏洞在受影响站点上下文的用户浏览器中执行任意代码,窃取cookie身份验证凭证。
 
<*来源:Felipe Pena
 
  链接:
 *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
> ----
 > $ touch "'50%' valign='top'>    

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/pxsdf.html