发布日期：2002-12-01
更新日期：2002-12-04

受影响系统：

Webster HTTP

描述：

---

Webster HTTP是一款使用MFC由C++编写的HTTP/1.0服务程序。

Webster HTTP没有正确过滤用户提交的URI请求中路径名的数据，远程攻击者可以利用这个漏洞构建包含恶意脚本代码的URI链接，诱使用户点击，可导致恶意脚本代码在用户浏览器中执行。

如果用户提交的路径名包含HTML标记，服务器在返回用户的时候可导致HTML代码在用户浏览器上执行。攻击者可以构建包含恶意脚本代码链接的页面，诱使用户点击，当脚本在用户浏览器上执行的时造成基于认证的Cookie等信息泄露，或进行其他非法活动。

<*来源：Matthew Murphy （mattmurphy@kc.rr.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103884335930492&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Matthew Murphy （mattmurphy@kc.rr.com）提供了如下测试方法：

http://websterhost.edu/<SCRIPT>/

建议：

---

厂商补丁：

Webster
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.netdave.com/webster/webster.htm

浏览次数：3328
严重程度：0（网友投票）