English

◀◁ 뒤로 취약점ID 22256 위험도 30 포트 7777, ... 프로토콜 TCP 분류 WWW 상세설명 해당 Oracle HTTP 서버의 iSQLplus에는 Cross-Site Scripting 취약점이 존재한다. 이 Cross-Site Scripting 취약점은 iSQLplus 스크립트 상에서 'action', 'username', 'password' 파라미터에 입력되는 사용자 입력들이 적절히 필터링되지 못하는 데 그 원인이 있다. 원격지 공격자들은 다음과 같이 iSQLplus 스크립트와 연결된 악의적인 URL 링크를 만들고 사용자가 이 링크를 클릭하도록 유도할 수 있다: http://[target]/isqlplus?action=logon&username=sdfds%22%3e%3cscript%3ealert('XSS')%3c/script%3e\&password=dsfsd%3cscript%3ealert('XSS')%3c/script%3e 일단 링크가 클릭되면, 임의의 코드가 오라클 서버의 권한으로 사용자의 웹 브라우저 상에서 실행된다. 이 취약점을 도용함으로써, 공격자들은 사용자들의 쿠키(Cookie) 기반의 인증 신용정보들을 획득할 수 있다. * 참고 사이트: http://www.securitytracker.com/alerts/2004/Jan/1008838.html http://archives.neohapsis.com/archives/bugtraq/2004-01/0233.html * 영향을 받는 플랫폼: Oracle HTTP Server 8.1.7 Oracle HTTP Server 9.0.1 Oracle HTTP Server 9.2.0 해결책 2014년 6월 현재 이 취약점에 대한 적절한 패치는 나와 있지 않다. 관련 URL CVE-2004-2115 (CVE) 관련 URL 9484 (SecurityFocus) 관련 URL 14930 (ISS)