You are hereГруппы / Безопасность / Пользователи IE под угрозой XSS-атак

Пользователи IE под угрозой XSS-атак


By yuliya - Posted on 24 января 2012

Картинка: 
XSS,  уязвимость,  безопасность,  Imperva

Уязвимость межсайтового скриптинга существует из-за некорректной обработки специальных символов в URI.

Как сообщает IMPERVA, в web-обозревателе Internet Explorer (IE) присутствует уязвимость межсайтового скриптинга (XSS). По информации специалистов, уязвимость существует из-за того, что браузер некорректно обрабатывает двойные кавычки (“).

IE не обрабатывает символы двойной кавычки в части запроса Uniform Resource Identifier (URI). Web-сайты могут посчитать специально сформированный URI легитимным и выполнить прикрепленный в идентификаторе HTML код. Данная схема может позволить злоумышленнику повредить структуру страницы и осуществить XSS нападение.

Согласно интернет стандарту RFC 3986, который определяет URI синтаксис, такие символы как двойные кавычки, должны быть «pct-закодированными», и этой политики придерживаются разработчики различных браузеров, например, Chrome и Firefox.

IE обрабатывает специальные символы только в части пути URI, не затрагивая при этом передаваемые параметры. Например, адрес http://example.com/tes"t.php?q"="b" после обработки IE будет выглядеть таким образом: GET /tes%22t.php?q"="b". В то время как другие браузеры осуществляют преобразование двойной кавычки также для передаваемых параметров.

По мнению специалистов IMPERVA, большое количество сайтов не осуществляют фильтрацию данных, получаемых в качестве параметров, что может позволить злоумышленнику осуществить отраженную XSS атаку с помощью специально сформированной ссылки.

Исследователи IMPERVA связались с представителями Microsoft, но софтверный гигант не считает данную брешь уязвимостью. «Нам известно об описанной вами функции и мы планируем изменить ее в будущих версиях, однако она не рассматривается нами, как уязвимость, которая будет описана в уведомлении безопасности», - ответил представитель Microsoft на сообщение Imperva.

На web-сайте XSSed.com описано большое количество уязвимостей межсайтового скриптинга, которые распространяются только на пользователей IE из-за описанной выше бреши.

Редакция SecurityLab настоятельно рекомендует разработчикам web-приложений осуществлять фильтрацию всех входных данных и не полагаться на корректность работы функционала, реализованного сторонними разработчиками.

securitylab.ru

Отправить комментарий

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 113 гостей.

Последние комментарии