发布日期：2008-01-26
更新日期：2008-01-29

受影响系统：

F5 BIG-IP Application Security Manager 9.4.3

描述：

---

BUGTRAQ  ID: 27462

BIG-IP应用安全管理器（ASM）是Web应用和运行基础架构的综合安全防护解决方案。

BIG-IP在处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞执行跨站脚本执行攻击。

F5 BIG-IP ASM的Web管理界面的/dms/policy/rep_request.php页面没有正确地验证对report_type参数的输入，如果用户受骗跟随了恶意链接的话，就可能导致在用户浏览器会话中执行跨站脚本攻击。

<*来源：nnposter （nnposter@disclosed.not）
  
  链接：http://secunia.com/advisories/28655/
        http://marc.info/?l=bugtraq&m=120136909102691&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

https://(target)/dms/policy/rep_request.php?report_type=%22%3E%3Cbody+onload=alert(%26quot%3BXSS%26quot%3B)%3E%3Cfoo+

建议：

---

厂商补丁：

F5
--
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.f5.com/

浏览次数：2374
严重程度：0（网友投票）