informace o zranitelnostech v proxy serveru , které byly potichu odstraněny minulý rok ve vydání Squid 4.8. Problémy se vyskytují v kódu pro zpracování bloku „@“ na začátku adresy URL („uživatel@hostitel“) a umožňují vám obejít pravidla omezení přístupu, otrávit obsah mezipaměti a provést křížovou kontrolu skriptovací útok.
- — klient může pomocí speciálně navržené adresy URL obejít pravidla zadaná pomocí direktivy url_regex a získat důvěrné informace o proxy a zpracovávaném provozu (získat přístup k rozhraní Cache Manager).
- — manipulací s údaji o uživatelském jménu v URL můžete dosáhnout uložení fiktivního obsahu pro konkrétní stránku do mezipaměti, což lze například použít k organizaci spouštění vašeho kódu JavaScript v kontextu jiných stránek.
Zdroj: opennet.ru