informacija apie tarpinio serverio spragas , kurie pernai buvo tyliai pašalinti išleidžiant Squid 4.8. Problemos yra kode, apdorojant bloką „@“ URL pradžioje („user@host“) ir leidžia apeiti prieigos apribojimo taisykles, apnuodyti talpyklos turinį ir atlikti kryžminę svetainę. scenarijų ataka.
- — klientas, naudodamas specialiai sukurtą URL, gali apeiti taisykles, nurodytas naudojant direktyvą url_regex, ir gauti konfidencialią informaciją apie tarpinį serverį ir apdorotą srautą (gauti prieigą prie talpyklos tvarkyklės sąsajos).
- - manipuliuodami vartotojo vardo duomenimis URL, galite pasiekti, kad talpykloje būtų išsaugotas fiktyvus konkretaus puslapio turinys, kurį, pavyzdžiui, galima naudoti organizuojant JavaScript kodo vykdymą kitų svetainių kontekste.
Šaltinis: opennet.ru