elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Cross-site scripting en Apache 1.3.x y 2.2.x
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cross-site scripting en Apache 1.3.x y 2.2.x  (Leído 3,729 veces)
YaTaMaS
Colaborador
***
Desconectado Desconectado

Mensajes: 4.684


Nada es seguro y todo es posible


Ver Perfil WWW
Cross-site scripting en Apache 1.3.x y 2.2.x
« en: 19 Diciembre 2007, 13:39 pm »

Se ha encontrado una vulnerabilidad en Apache que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

* La vulnerabilidad que afecta a las versiones 1.3.x está localizada en la función mod_imap y está causada porque algunas entradas no se limpian de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para inyectar código javascript o HTML arbitrario en el contexto de la sesión del navegador de un usuario que visita una página afectada. Para que la vulnerabilidad pueda ser explotada se requiere que mod_imap esté activado y sus ficheros accesibles de forma pública.

* La vulnerabilidad que afecta a las versiones 2.2.x está localizada en la función mod_imagemap y está causada porque algunas entradas no se limpian de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para inyectar código javascript o HTML arbitrario en el contexto de la sesión del navegador de un usuario que visita una página afectada. Para que la vulnerabilidad pueda ser explotada se requiere que mod_imagemap esté activado y sus ficheros accesibles de forma pública.

La vulnerabilidad está confirmada para las versiones 1.3.39, 1.3.37, 1.3.36, 1.3.35, 1.3.34, 1.3.33, 1.3.32, 1.3.31, 1.3.29, 1.3.28, 1.3.27, 1.3.26, 1.3.24, 1.3.22, 1.3.20, 1.3.19, 1.3.17, 1.3.14, 1.3.12, 1.3.11, 1.3.9, 1.3.6, 1.3.4, 1.3.3, 1.3.2, 1.3.1 y 1.3.02.2.6. También está confirmada para las versiones 2.2.5, 2.2.4, 2.2.3, 2.2.2 y 2.2.0.

Se recomienda actualizar a la versiones de desarrollo 1.3.40-dev o 2.2.7-dev, donde se han subsanado los problemas de seguridad. Están disponibles desde:
http://httpd.apache.org/download.cgi


Apache httpd 1.3 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_13.html

Apache httpd 2.2 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_22.html



@hispasec.com
En línea

Semitorre Tacens Sagitta Lux + Intel Q6600 2,4Ghz @ 3,2 + Zalman 8700 Led Quad Core + Placa Asus P5KC
+ 8GB DDR2 800 Kingston HiperX + GeForce GTX 960 + Disco SSD

Zion1024
TROLL

Desconectado Desconectado

Mensajes: 27



Ver Perfil
Re: Cross-site scripting en Apache 1.3.x y 2.2.x
« Respuesta #1 en: 23 Diciembre 2007, 11:21 am »

mas un XXS para estudiar
Gracias por la informacion.  :D
En línea

-sagitari-


Desconectado Desconectado

Mensajes: 1.643


:D


Ver Perfil WWW
Re: Cross-site scripting en Apache 1.3.x y 2.2.x
« Respuesta #2 en: 23 Diciembre 2007, 13:30 pm »

La red está llena de XSS's...
La gracia es saber explotarlo de forma "sabia" ,
yo una vez accedí a toda una página gracias a una vulnerabilidad xss que tenía de robarle la cookie al admin y el admin fue tan tonto que picó en una "trampa" que le tendí para obtener su cookie.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Cross Site Scripting
Nivel Web
pelonms7 6 6,490 Último mensaje 7 Marzo 2011, 03:20 am
por pelonms7
Security Series. XSS. [Cross Site Scripting]
Nivel Web
@XSStringManolo 6 28,161 Último mensaje 1 Enero 2023, 07:24 am
por Maquiavela
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines