اطلاعاتی در مورد آسیب پذیری ها در سرور پروکسی ، که سال گذشته در انتشار Squid 4.8 بی سر و صدا حذف شدند. مشکلات در کد پردازش بلوک "@" در ابتدای URL ("user@host") وجود دارد و به شما امکان می دهد قوانین محدودیت دسترسی را دور بزنید، محتویات کش را مسموم کنید و یک سایت متقابل انجام دهید. حمله اسکریپت نویسی
- - مشتری با استفاده از یک URL طراحی شده خاص، می تواند قوانین مشخص شده با استفاده از دستورالعمل url_regex را دور بزند و اطلاعات محرمانه ای در مورد پراکسی و ترافیک پردازش شده به دست آورد (دسترسی به رابط مدیر کش).
- — با دستکاری داده های نام کاربری در URL، می توانید به ذخیره سازی محتوای ساختگی برای یک صفحه خاص در حافظه پنهان دست یابید که به عنوان مثال می توان از آن برای سازماندهی اجرای کد جاوا اسکریپت خود در زمینه سایت های دیگر استفاده کرد.
منبع: opennet.ru