|
Microsoft ISA Server 跨站脚本执行漏洞(MS01-045)
发布日期:2001-08-20
更新日期:2001-08-20
受影响系统:Microsoft ISA Server 2000
- Microsoft Windows 2000 描述:
BUGTRAQ ID: 3198
CVE(CAN) ID: CVE-2001-0658
当Microsoft ISA Server 2000不能下载一个web页面时,它会返回一个错误页面,其中包
含试图下载的URL。攻击者可能将恶意脚本代码嵌入URL中,使ISA Server的错误页面中包
含这些脚本。
攻击者需要满足下列条件才能进行攻击:
(1) URL必须指向一个有效的站点
(2) 需要请求一个不存在的页面
(3) 这个URL中需要包含脚本代码
这样,当ISA返回错误页面时,里面就会包含脚本代码,这些代码将会在用户的浏览器显示
错误页面时被执行。这些代码将会在URL所指向的站点的安全域中执行。
<*来源:Dr. Hiromitsu Takagi
微软安全公告MS01-045:
http://www.microsoft.com/technet/security/bulletin/MS01-045.asp
*>
建议:
厂商补丁:
微软已经为此发布了一个安全公告(MS01-045)以及相应补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS01-045.asp
补丁下载:
Microsoft ISA Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32094
|
