informazioni sulle vulnerabilità nel server proxy , che sono stati silenziosamente eliminati lo scorso anno con il rilascio di Squid 4.8. I problemi sono presenti nel codice per l'elaborazione del blocco “@” all'inizio dell'URL (“utente@host”) e consentono di aggirare le regole di restrizione dell'accesso, avvelenare il contenuto della cache ed effettuare un cross-site attacco di scripting.
- — il client, utilizzando un URL appositamente progettato, può aggirare le regole specificate utilizzando la direttiva url_regex e ottenere informazioni riservate sul proxy e sul traffico elaborato (accedere all'interfaccia del Gestore della cache).
- — manipolando i dati del nome utente nell'URL, è possibile ottenere la memorizzazione di contenuti fittizi per una pagina specifica nella cache, che, ad esempio, può essere utilizzato per organizzare l'esecuzione del proprio codice JavaScript nel contesto di altri siti.
Fonte: opennet.ru