微点交流论坛

标题: IBM Workplace不特定的跨站脚本攻击和跨站点请求伪造 [打印本页]

作者: pioneer 时间: 2008-7-8 16:23 标题: IBM Workplace不特定的跨站脚本攻击和跨站点请求伪造

来源

secunia.com

软件名

IBM Workplace for Business Controls and Reporting 2.x
IBM Workplace Web Content Management 6.x

描述

1)不特定的输入在返回到用户前没有准确过滤，这可在用户
浏览器浏览受影响的网页时，执行任意HTML和脚本代码。
2)应用程序允许用户通过没有执行有效性验证的HTTP请求执
行特定操作，这可导致执行被骗访问恶意站点的特定用户权
限的操作，

解决方案

不要打开相关的不可信链接或在登陆到应用程序和在web代理
上过滤恶意字符和字符串顺序时浏览不可信的web站点

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn