oracle forms web cgi,Oracle Reports Web CGI跨站脚本漏洞

最新推荐文章于 2023-10-30 00:00:26 发布
最新推荐文章于 2023-10-30 00:00:26 发布
阅读量124 收藏
点赞数
文章标签: oracle forms web cgi

Oracle应用服务Reports Web Cartridge在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在用户浏览器中执行恶意脚本代码。在使用Oracle应用服务器处理Web客户端请求时,报表服务器必需Reports Web CGI或Web Cartridge。由于没有正确验证genuser参数,远程攻击者可以在输入中注入任意脚本并在客户端浏览器中执行。这一漏洞在认证表单中尤其严重,因为恶意用户可以通过这种攻击获得其他用户的认证凭据。

受影响系统:

Oracle Application Server Release 2, 9.0.2.3

描述:

Oracle应用服务器是一个综合解决方案,用于开发、集成和部署企业的应用系统、门户和网站。

Oracle应用服务Reports Web Cartridge在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在用户浏览器中执行恶意脚本代码。

在使用Oracle应用服务器处理Web客户端请求时,报表服务器必需Reports Web CGI或Web Cartridge。由于没有正确验证genuser参数,远程攻击者可以在输入中注入任意脚本并在客户端浏览器中执行。这一漏洞在认证表单中尤其严重,因为恶意用户可以通过这种攻击获得其他用户的认证凭据。

链接:

*>

建议:

厂商补丁:

Oracle

Oracle已经为此发布了一个安全公告(cpujan2007)以及相应补丁:

cpujan2007:Oracle Critical Patch Update – January 2007

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget

官方微博

TechTarget中国

神秘墓后煮shi者
关注
Qt开发经验总结
草上爬的博客
12-02 8199
增加了很多轮子,同时原有模块拆分的也更细致,估计为了方便拓展个管理。把一些过度封装的东西移除了(比如同样的功能有多个函数),保证了只有一个函数执行该功能。把一些Qt5中兼容Qt4的方法废弃了,必须用Qt5中对应的新的函数。跟随时代脚步,增加了不少新特性以满足日益增长的客户需求。对某些模块和类型及处理进行了革命性的重写,运行效率提高不少。有参数类型的变化,比如 long * 到 qintptr * 等,更加适应后续的拓展以及同时对32 64位不同系统的兼容。
oracle使用cgi吗_Oracle | 10月多个安全漏洞通告
weixin_39986178的博客
12-06 317
0x00 漏洞概述2020年10月20日,Oracle发布10月份的安全更新,修复了多个产品中的安全漏洞。此次发布的漏洞补丁共计402个,主要涉及Oracle Database Server、Oracle Communications、Oracle Fusion Middleware、Oracle Weblogic、Oracle E-Business Suite和OracleMySQL等...
oracle10g漏洞,Oracle Application Server 10g跨站脚本漏洞
weixin_33740988的博客
04-09 292
Oracle Application Server 10g跨站脚本漏洞信息来源:Oleg P. 发表日期:2013-05-01 14:59:00Oracle Application Server是一个全面的集成应用服务器。Oracle Application Server Portal v10.1.3没有正确过滤login.jsp脚本内的"site2pstoretoken"参数及其他脚本...
CGI脚本跨站截取Cookie/附ASP的
爱码农爱生活
03-12 197
XSS,现在都成热门词了,跨来跨去都是alert,无聊~~     其实alert()不能排除是一种检测方式,很实用,呵呵。跨站跨到Cookies才是正道,如果网站系统有Cookie欺骗漏洞的话那就非常妙了,直接跨到管理员的Cookie一下子就能登陆后台,拿到权限比较爽。 虚构测试URL:http://hi.baidu.com/biweilun/cgi-bin/Articles.cgi?ID=&...
Oracle安全漏洞2016.10报告
weixin_34166847的博客
10-28 185
Oracle安全漏洞2016.10报告 http://www.cnvd.org.cn/webinfo/show/3950  
2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告
爱国小白帽
10-21 1923
2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告 原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-102101 报告来源:360CERT 报告作者:360CERT 更新日期:2020-10-21 0x01 事件简述 2020年10月21日,360CERT监测发现 Oracle官方 发布了 10月份 的安全更新。 此次安全更新发布了421个漏洞补丁,其中Oracle Fusion Middleware有46个漏洞补丁更新
Oracle Developer:第15章Oracle Developer与开放式系统.pdf
09-20
Oracle Developer的Forms组件是用于创建基于GUI的应用程序的工具,它允许开发者设计表单界面,这些表单界面可以被用户在客户端电脑上使用,而Oracle Developer Reports组件则用于生成报表,这些报表可以是简单的列表...
Oracle+11g+for+Linux+安装
06-19
11. **开发工具**:为了开发和测试Web应用程序,Oracle提供了Oracle Designer、Oracle Portal、Oracle FormsOracle Reports等工具。这些工具可以帮助开发者构建基于Java、PL/SQL的Web应用,以及生成报表。 在配置...
oracle学习大全(good)
热门推荐
12-21 2万+
一、数据库语言部分1. SQL语言:关系数据库的标准语言2. PL/SQL:过程化语言Procedural Language3. SQL*Plus:简单的报表,操作系统接口4. Oracle 8.01后出现:(1) 数据分区技术:只适用8.01后的本,数据分散存放,不要放在一个硬盘上,I/O性能好,安全性能好。(2) 对象技术:存储过程、函数、包、数据库触发器、动态SQL编程(3) 数据库权限管
Agora.CGI跨站脚本执行漏洞(CVE-2001-1199),该漏洞应该怎么修复呢?
chenzongguang的博客
12-21 1809
Agora.CGI跨站脚本执行漏洞(CVE-2001-1199),该漏洞应该怎么修复呢?
跨站脚本攻击详解
weixin_30700977的博客
02-18 723
1 前言 近年来,随着Web2.0的大潮,越来越多的人开始关注Web安全,新的Web攻击手法层出不穷,Web应用程序面临的安全形势日益严峻。 跨站脚本攻击(XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)列为当前的头号Web安...
Web渗透测试—使用跨站脚本攻击
最新发布
CSDN6047_的博客
10-30 249
在前几个小节中,我们能体会到XSS漏洞可能会造成的危害。如1.网络钓鱼,包括盗取各类用户账号;2.窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作;3.劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等等。
CGI接口原理及实现
chuanzhilong的博客
10-20 1万+
CGI接口原理及实现   CGI接口原理及实现(2012-12-7 Over)      1.CGI定义:   CGI(CommonGateway Interface)是HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具,其程序须运行在网络服务器上。   2.CGI功能:   绝大多数的CGI程序被用来解释处理来自表单的输入信息,并在服务器产生相应
forms oracle runtime_Oracle Forms 10g 未认证远程代码执行漏洞分析(CVE-2014-4278)
weixin_36104309的博客
12-23 240
Oracle Forms 10g 未认证远程代码执行漏洞分析(CVE-2014-4278)2014-11-01 20:28:25阅读:0次漏洞描述OracleForms10g代码没有正确地验证用户的输入,会导致未授权用户在远程的OracleForm服务器上命令执行。这个漏洞也影响OracleE-BusinessSuite12.0.6,12.1.3,12.2.2,12.2....
跨站脚本执行漏洞详解
qq3245505的博客
11-02 1044
由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够比较详细的介绍该漏洞。由于时间仓促,水平有限,本文可能有不少错误,希望大家不吝赐教。   声明,请不要利用本文介绍的任何内容,代码或方法进行破坏,否则一切后果自负!   【漏洞成因】   原因很简单,就是因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换。   【漏洞形式】   这里所说的形...
存储型跨站脚本攻击
rulerer的博客
06-15 2501
1)  检测方法:该漏洞存在于用户输入数据并将应用显示的所有关键点保存至后台的地方,典型的输入案例有:用户属性页面、购物车、文件管理、应用设置/首选项、论坛/消息公告板、博客、日志所以可以爬取这些页面特有的标签来寻找可能存在漏洞的页面2)  测试用例:与反射型类似注入 返回 %3E%22%27%3E%3Cscript%3Ealert%289776%29%3C%2Fscript%3E <s...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值