发布日期：2010-11-25
更新日期：2010-11-30

受影响系统：

NoScript NoScript < 2.0.5.1
NoScript NoScript 2.0.6

不受影响系统：

NoScript NoScript 2.0.5.1

描述：

---

NoScript Firefox extension是一款免费的开源插件，提供对Firefox、Seamonkey和其他基于Mozilla浏览器的额外保护。

NoScript的实现上存在漏洞，远程攻击者可利用此漏洞绕过反射式XSS保护。

在通过SQLXSSI发动攻击时，NoScript未能从受信任的域中检测到反射式XSS。通过利用浏览器中的错误信息机制发动Union SQL投毒攻击而导致的“Reflective XSS”可成功地绕过NoScript。

<*来源：Aditya K Sood | Rohit Bansal of SecNiche Security
  
  链接：http://marc.info/?l=bugtraq&m=129071381520434&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Aditya K Sood | Rohit Bansal of SecNiche Security （）提供了如下测试方法：

http://www.example.com/news.php?news=12%27union%20select%201,2,3,4,5,6,7,0x3c736372697 \
0743e616c657274282f73636861702f293c2f7363726970743e,9,10,11,12,version%28%29%20from%20 \
tbl_news--+

建议：

---

厂商补丁：

NoScript
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://noscript.net/

浏览次数：3324
严重程度：0（网友投票）