CGI 一般 HTML 插入 (快速測試)
medium Nessus Plugin ID 49067
語系:
概要
遠端 Web 伺服器容易受到 HTML 插入影響。說明
遠端 Web 伺服器主控 CGI 指令碼,其無法充分清理含有惡意 JavaScript 的要求字串。攻擊者可能會利用此問題,針對受影響網站的安全性內容,在使用者的瀏覽器中執行任意 HTML。遠端 Web 伺服器可能容易遭受 IFRAME 插入或跨網站指令碼攻擊:
- IFRAME 插入允許可能使易受騙的使用者感到恐懼或憤怒的「虛擬損毀」。這些插入有時會針對「網路釣魚」攻擊實作。
- XSS 會由其他四個指令碼廣泛測試。
- 某些應用程式 (例如,Web 論壇) 會授權 HTML 的子集,而沒有任何不良影響。在此情況下,可忽略此警告。
解決方案
限制存取容易遭受攻擊的應用程式,或聯絡供應商取得更新程式。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 49067
檔案名稱: torture_cgi_inject_html.nasl
版本: 1.16
類型: remote
系列: CGI abuses : XSS
已發布: 2010/9/1
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: Medium
基本分數: 4.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
必要的 KB 項目: Settings/enable_web_app_tests