informatie over kwetsbaarheden in de proxyserver , die vorig jaar stilletjes werden geëlimineerd bij de release van Squid 4.8. De problemen zijn aanwezig in de code voor het verwerken van het “@”-blok aan het begin van de URL (“gebruiker@host”) en stellen u in staat de toegangsbeperkingsregels te omzeilen, de inhoud van de cache te vergiftigen en een cross-site uit te voeren scripting-aanval.
- — een client kan, met behulp van een speciaal ontworpen URL, de regels omzeilen die zijn gespecificeerd met behulp van de url_regex-richtlijn en vertrouwelijke informatie verkrijgen over de proxy en het verwerkte verkeer (toegang krijgen tot de Cache Manager-interface).
- — door de gebruikersnaamgegevens in de URL te manipuleren, kunt u fictieve inhoud voor een specifieke pagina in de cache opslaan, die bijvoorbeeld kan worden gebruikt om de uitvoering van uw JavaScript-code in de context van andere sites te organiseren.
Bron: opennet.ru