IBM Lotus Domino BaseTarget参数跨站脚本漏洞

发布日期：2005-09-16
更新日期：2005-09-16

受影响系统：

IBM Lotus Domino Enterprise Server 6.5.2
IBM Lotus Domino 6.5.2

描述：

---

BUGTRAQ ID: 14845

Lotus Domino/Notes是集电子邮件、文档 数据库、快速应用开发技术以及Web技术为一体的电子邮件与群件平台。

IBM Lotus Domino中存在跨站脚本漏洞，攻击者可能利用此漏洞收集敏感信息。

起因是没有充分的验证通过URI参数提供的数据。攻击者可以通过诱骗用户访问包含有HTML和脚本代码的恶意链接来利用这个漏洞，在请求的BaseTarget参数中注入JavaScript。这可能允许窃取基于cookie的认证凭据，从而获得非授权访问。

<*来源：IBM （ncsupp@ca.ibm.com）

链接：http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg1LO07850&loc=en_US&cs=utf-8&cc=us&lang=all
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

https://www.pwciasservices.com/pwciasservices/Staging/CitiPayPro.nsf/Footer?OpenForm&BaseTarget="; alert(document.cookie); var mit="a
https://www.pwciasservices.com/pwciasservices/Staging/CitiPayPro.nsf/WNAV?OpenForm&BaseTarget="; alert(document.cookie); var mit="a

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg1LO07850&loc=en_US&cs=utf-8&cc=us&lang=all

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有