معلومات حول نقاط الضعف في الخادم الوكيل ، والتي تم التخلص منها بصمت العام الماضي في إصدار Squid 4.8. توجد المشكلات في التعليمات البرمجية الخاصة بمعالجة الكتلة "@" في بداية عنوان URL ("user@host") وتسمح لك بتجاوز قواعد تقييد الوصول، وتسميم محتويات ذاكرة التخزين المؤقت، وتنفيذ عملية تقاطع المواقع هجوم البرمجة النصية.
- - يمكن للعميل، باستخدام عنوان URL مصمم خصيصًا، تجاوز القواعد المحددة باستخدام التوجيه url_regex والحصول على معلومات سرية حول الوكيل وحركة المرور المعالجة (الوصول إلى واجهة Cache Manager).
- — من خلال معالجة بيانات اسم المستخدم في عنوان URL، يمكنك تحقيق تخزين محتوى وهمي لصفحة معينة في ذاكرة التخزين المؤقت، والذي، على سبيل المثال، يمكن استخدامه لتنظيم تنفيذ كود JavaScript الخاص بك في سياق مواقع أخرى.
المصدر: opennet.ru