Informationen über Schwachstellen im Proxyserver , die letztes Jahr mit der Veröffentlichung von Squid 4.8 stillschweigend eliminiert wurden. Die Probleme treten im Code für die Verarbeitung des „@“-Blocks am Anfang der URL („user@host“) auf und ermöglichen es Ihnen, Zugriffsbeschränkungsregeln zu umgehen, den Inhalt des Caches zu vergiften und eine Cross-Site durchzuführen Scripting-Angriff.
- – Ein Client kann mithilfe einer speziell entwickelten URL die mit der url_regex-Direktive festgelegten Regeln umgehen und vertrauliche Informationen über den Proxy und den verarbeiteten Datenverkehr erhalten (Zugriff auf die Cache-Manager-Schnittstelle erhalten).
- – Durch die Manipulation der Benutzernamendaten in der URL können Sie die Speicherung fiktiver Inhalte für eine bestimmte Seite im Cache erreichen, was beispielsweise dazu verwendet werden kann, die Ausführung Ihres JavaScript-Codes im Kontext anderer Websites zu organisieren.
Source: opennet.ru