informações sobre vulnerabilidades no servidor proxy , que foram eliminados silenciosamente no ano passado no lançamento do Squid 4.8. Os problemas estão presentes no código de processamento do bloco “@” no início da URL (“usuário@host”) e permitem contornar regras de restrição de acesso, envenenar o conteúdo do cache e realizar um cross-site ataque de script.
- — um cliente, usando uma URL especialmente projetada, pode ignorar as regras especificadas usando a diretiva url_regex e obter informações confidenciais sobre o proxy e o tráfego processado (obter acesso à interface do Cache Manager).
- — ao manipular os dados do nome de usuário na URL, você pode conseguir o armazenamento de conteúdo fictício para uma página específica no cache, que, por exemplo, pode ser usado para organizar a execução do seu código JavaScript no contexto de outros sites.
Fonte: opennet.ru