impormasyon tungkol sa mga kahinaan sa proxy server , na tahimik na inalis noong nakaraang taon sa paglabas ng Squid 4.8. Ang mga problema ay naroroon sa code para sa pagproseso ng bloke ng "@" sa simula ng URL ("user@host") at nagbibigay-daan sa iyo na i-bypass ang mga panuntunan sa paghihigpit sa pag-access, lason ang mga nilalaman ng cache, at magsagawa ng cross-site pag-atake ng scripting.
- β ang isang kliyente, gamit ang isang espesyal na idinisenyong URL, ay maaaring lampasan ang mga patakarang tinukoy gamit ang url_regex na direktiba at makakuha ng kumpidensyal na impormasyon tungkol sa proxy at naprosesong trapiko (makakuha ng access sa interface ng Cache Manager).
- β sa pamamagitan ng pagmamanipula sa data ng username sa URL, makakamit mo ang pag-imbak ng kathang-isip na nilalaman para sa isang partikular na pahina sa cache, na, halimbawa, ay maaaring magamit upang ayusin ang pagpapatupad ng iyong JavaScript code sa konteksto ng iba pang mga site.
Pinagmulan: opennet.ru