Agora.CGI跨站脚本执行漏洞(CVE-2001-1199),该漏洞应该怎么修复呢?

最新推荐文章于 2023-11-14 23:30:00 发布
最新推荐文章于 2023-11-14 23:30:00 发布
阅读量2.1k 收藏
点赞数
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenzongguang/article/details/128398402
版权
漏洞编号143006
风险级别高风险
概要远程Web服务器包含易受跨站点脚本问题影响的CGI。
描述Agora.cgi是一个免费,开放源码的网上售货系统。 Agora.cgi存在跨站脚本执行漏洞,可以使攻击者通过窃取Cookie等手段获得敏感信息。 攻击者可以在运行了Agora.cgi的Web页面上放置包含了任意脚本代码的链接,用户如果点击了该链接,则脚本就会在用户Web浏览器环境下执行。攻击者可能借此收集到用户当前的Cookie,这些Cookie中可能包含有敏感信息。已经证实3.3e版的软件是有此问题的,其它以下的低版本可能也有此问题。
解决办法临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁: * 在IE中禁止活动脚本及ActiveX控件的执行。 厂商补丁: Steve Kneizys ------------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.agoracgi.com
详情请参阅http://www.iss.net/security_center/static/7708.php http://www.agoracgi.com/security.html http://www.osvdb.org/698 http://www.securityfocus.com/bid/3702 http://www.securityfocus.com/archive/1/246044
CVECVE-2001-1199
Bugtraq ID3702
CVSSCVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CNVDCNVD-2001-1199
CNCVECNCVE-2001-1199
CNNVDCNNVD-200112-110
检测详情
主机:2.46.14.218 | 端口:9200 | 服务:www | 协议:tcp
window.open()的完整参数列表 与 跨站脚本执行漏洞
zhcool(碳元素)的专栏
10-18 4415
经常上网的朋友可能会到过这样一些网站,一进入首页立刻会弹出一个窗口, 或者按一个连接或按钮弹出,通常在这个窗口里会显示一些注意事项、版权信息、警告、欢迎光顾之类的话或者作者想要特别提示的信息。其实制作这样的页面效果非常的容易,只要往该页面的HTML里加入几段javascript代码即可实现。下面俺就带您剖析它的奥秘。 【1、最基本的弹出窗口代码】 其实代码非常简单: window.ope
跨站脚本执行漏洞详解与防护
01-20
本文主要介绍跨站脚本执行漏洞的成因,形式,危害,利用方式,隐藏技巧,解决方法和常见问题 (FAQ),由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够 比较详细的介绍该漏洞。由于时间仓促,水平有限,本文可能有不少错误,希望大家不吝赐教。  声明,请不要利用本文介绍的任何内容,代码或方法进行破坏,否则一切后果自负!  【漏洞成因】  原因很简单,就是因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换。  【漏洞形式】  这里所说的形式,实际上是指CGI输入的形式,主要分为两种:  1.显示输入  2.隐式输入  其中显示输入明确要求用户输入数据,而
解决跨站脚本执行漏洞
好记性不如烂笔头
04-09 3462
控制java后端返回前端<script>callback(alert("a"))</script>是否弹出提示框 今天收到安全部门反馈的一个问题,现象是这样的: 通过文件导入名单,并回显到前台输入框,再回显之后,浏览器会弹出一个alert提示框。 文件内容是:abc’);alert(/cbd/);// 回显到输入框:abc 弹出框是:cbd jsp前端代码 <s:...
跨站脚本执行漏洞详解
积跬步至千里
12-19 2469
【前言】 本文主要介绍跨站脚本执行漏洞的成因,形式,危害,利用方式,隐藏技巧,解决方法和常 见问题(FAQ),由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细 ,所以希望本文能够比较详细的介绍该漏洞。由于时间仓促,水平有限,本文可能有不少错 误,希望大家不吝赐教。 声明,请不要利用本文介绍的任何内容,代码或方法进行破坏,否则一切后果自负! 【漏洞成因】 原因很简单,就是因为CGI
跨站脚本攻击详解
weixin_30700977的博客
02-18 783
1 前言 近年来,随着Web2.0的大潮,越来越多的人开始关注Web安全,新的Web攻击手法层出不穷,Web应用程序面临的安全形势日益严峻。 跨站脚本攻击(XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)列为当前的头号Web安...
跨站脚本执行漏洞利用技巧两则
com0do的专栏
12-06 1063
谈到跨站脚本执行漏洞,想必大家已经比较熟悉了吧?这里向大家介绍两则利用跨站脚本执行漏洞攻击 的技巧,当然我也会为大家提供临时解决方法。废话少说,下面我就开始讲。【技巧一】大家都知道文件上载吧?很多网站都提供了这个功能。利用文件上载进行攻击的方法很多,就不赘述 了,这里主要介绍一下如何利用文件上载进行跨站脚本执行漏洞攻击。我们还记得去年闹得沸沸扬扬的CrazyBird发现的IE的漏洞吧?原文可以从下
服务器跨站脚本漏洞修复,AppWeb网络服务器跨站脚本执行漏洞
weixin_36070282的博客
08-13 291
发布日期:2010-12-23更新日期:2010-12-29受影响系统:Embedthis Software Appweb 3.2.2-1不受影响系统:Embedthis Software Appweb 3.2.3描述:--------------------------------------------------------------------------------BUGTRAQ I...
跨站脚本执行漏洞代码的几点思路
caiguazheng4921的博客
04-19 248
跨站脚本执行漏洞代码的6个思路分析: 1.构造一个提交,目标是能够显示用户Cookie信息: http://www.xxxx.net/txl/login/login.pl?username=<script>alert(document.cookie)</script>&passwd=&ok.x=28&ok.y...
ElasticSearch漏洞复现
qq_63980959的博客
05-19 4160
Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。Elasticsearch 是一个分布式、免费和开放的搜索和分析引擎,适用于所有类型的数据,包括文本、数字、地理空间、结构化和非结构化数据。
oracle forms web cgi,Oracle Reports Web CGI跨站脚本漏洞
weixin_42544461的博客
04-06 152
Oracle应用服务Reports Web Cartridge在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在用户浏览器中执行恶意脚本代码。在使用Oracle应用服务器处理Web客户端请求时,报表服务器必需Reports Web CGI或Web Cartridge。由于没有正确验证genuser参数,远程攻击者可以在输入中注入任意脚本并在客户端浏览器中执行。这一漏洞在认证表单中尤其严重...
如何解决跨站脚本攻击
热门推荐
z69183787的专栏
06-25 2万+
摘要: Cross-site scripting(CSS or XSS)跨站脚本不像其他攻击只包含两个部分:攻击者和web站点,跨站脚本包含三个部分:攻击者,客户和web站点。跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。 攻击 一个get请求 GET /welcome.cgi Cross-site scripting(CSS or XSS)
CGI脚本跨站截取Cookie/附ASP的版本
爱码农爱生活
03-12 215
XSS,现在都成热门词了,跨来跨去都是alert,无聊~~     其实alert()不能排除是一种检测方式,很实用,呵呵。跨站跨到Cookies才是正道,如果网站系统有Cookie欺骗漏洞的话那就非常妙了,直接跨到管理员的Cookie一下子就能登陆后台,拿到权限比较爽。 虚构测试URL:http://hi.baidu.com/biweilun/cgi-bin/Articles.cgi?ID=&...
xss跨站脚本漏洞
qq_43613772的博客
01-16 1013
跨站 脚本攻击 ( XSS ) 是安全威胁 一直 比较高 的 web 漏洞 。其最大的特点就是诸如一些html和JavaScript代码到用户的浏览器网页上。 一、分类: 1. Demo型: DOM 型 XSS 是 基于 DOM 文档 对象模型的一种漏洞,所以 ,受 客户端浏览器的脚本 代码所影响。 2.存储型: 存储型xss一般作用时间比较长而且影响的范围也比较广,如果界面 中的内容过滤不严格,...
Linux7081端口,网络-04-端口号-linux端口详解大全--TCP注册端口号大全
weixin_39787792的博客
04-30 2818
# John Murphy afs3-fileserver 7000/tcp file server itselfafs3-fileserver 7000/udp file server itselfafs3-callback 7001/tcp callbacks to cache managersafs3-callback...
常见的RCE漏洞复现(CVE-2017-18349)
最新发布
zkaqlaoniao的博客
11-14 427
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。再新建一个文件,使用include来引用图片马的内容。上传成功,会在下面显示临时文件储存的地址。集齐这两个文件可以召唤一个文件上传漏洞。上传完包含问价,直接访问,进行传参即可。同时在该目录也会有一个1.php文件。访问上传的文件,上传一句话木马。把咱们写的文件上传代码上传。任意位置恶意exp代码。去php.ini中修改。
oracle ssl端口号,TCP注册端口号大全【7】
weixin_33063489的博客
04-06 4408
分类: 系统运维2009-12-08 10:26:43# John Murphy afs3-fileserver 7000/tcp file server itselfafs3-fileserver 7000/udp file server itselfafs3-callback 7001/tcp callbacks to ...
几种开源的国外网上商城程序
weixin_34122604的博客
01-14 580
1.MAGENTO http://magentocommerce.com/这是我最喜欢的一种购物车系统,这款系统比较新,但他的功能非常全,特别是SEO以及网站的内部优化做的是相当的not bad。整个网站看起来设计非常的大气,看起来很专业。不过对空间的要求相对其他的系统来说比较高。一些用户可能比较关心的功能像CROSS SELL,PROUDCTTAG都是后台自动生成的。还有他的BACTH IMPO...
CVE-2017-0199漏洞分析
一半西瓜的博客
04-17 5189
OFFICE OLE2LINK(CVE-2017-0199) 第一部分 OFFICE漏洞简介 1.1 微软office漏洞背景 1.2OFFICE OLE2LINK漏洞简介 第二部分 OFFICE OLE2LINK漏洞分析 2.1漏洞原理简单分析 2.2漏洞攻击原理简单图解 2.3相关知识介绍 第三部分 攻击代码分析 3.1 ms.rtf 3.2 配置文件 第四部分 利用复现过程 第五部分 攻击总结 参考资料
Xamarin.Agora.Samples: 一站式跨平台Agora.io示例应用
资源摘要信息:"Xamarin.Agora.Samples是一个资源库,提供了使用Xamarin平台(包括Xamarin.iOS、Xamarin.Android、Xamarin.MacOS和Xamarin.Forms)进行开发时,如何集成Agora.io的Full SDK的示例。Agora.io是一个全球...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值