maklumat tentang kelemahan dalam pelayan proksi , yang telah dihapuskan secara senyap tahun lepas dalam keluaran Squid 4.8. Masalah terdapat dalam kod untuk memproses blok "@" pada permulaan URL ("pengguna@hos") dan membolehkan anda memintas peraturan sekatan akses, meracuni kandungan cache, dan menjalankan rentas tapak serangan skrip.
- β pelanggan, menggunakan URL yang direka khas, boleh memintas peraturan yang ditentukan menggunakan arahan url_regex dan mendapatkan maklumat sulit tentang proksi dan trafik yang diproses (mendapat akses kepada antara muka Pengurus Cache).
- β dengan memanipulasi data nama pengguna dalam URL, anda boleh mencapai penyimpanan kandungan rekaan untuk halaman tertentu dalam cache, yang, sebagai contoh, boleh digunakan untuk mengatur pelaksanaan kod JavaScript anda dalam konteks tapak lain.
Sumber: opennet.ru