CGI 泛型網站上要求偽造 (OSRF)
medium Nessus Plugin ID 47832
語系:
概要
遠端 Web 伺服器能容易遭受網站上要求偽造攻擊。說明
遠端 Web 伺服器主控的 CGI 指令碼無法適當清理含有特殊字元 (例如點、斜線、反斜線、等號、問號等) 的要求字串。透過利用此問題,攻擊者可造成使用者在造訪有弱點的頁面時執行任意 GET 要求。
網站上要求偽造 (OSRF) 是更廣泛的跨網站要求偽造 (CSRF) 攻擊類別的變體。
** 如果所有敏感操作皆透過 POST 執行,
** 或已針對「跨網站要求偽造」實作一些常見防禦,
** 則不會影響 Web 應用程式。
** 即使在 Web 應用程式的當前狀態下無法利用此弱點,
** 允許使用者在頁面中插入任意字元
** 肯定非常危險。
解決方案
限制存取容易遭受攻擊的應用程式。請連絡供應商取得修補程式或升級版本。另請參閱
https://en.wikipedia.org/wiki/Cross-site_request_forgery
http://www.nessus.org/u?a98d8191
http://blog.portswigger.net/2007/05/on-site-request-forgery.html