پراکسی سرور میں کمزوریوں کے بارے میں معلومات ، جو گزشتہ سال سکوئڈ 4.8 کی ریلیز میں خاموشی سے ختم کر دیے گئے تھے۔ یو آر ایل ("user@host") کے شروع میں "@" بلاک پر کارروائی کرنے کے کوڈ میں مسائل موجود ہیں اور آپ کو رسائی کی پابندی کے قوانین کو نظرانداز کرنے، کیشے کے مواد کو زہر دینے، اور کراس سائٹ کو انجام دینے کی اجازت دیتے ہیں۔ سکرپٹ حملہ.
- - کلائنٹ، خاص طور پر ڈیزائن کردہ یو آر ایل کا استعمال کرتے ہوئے، url_regex ہدایت کا استعمال کرتے ہوئے بیان کردہ قواعد کو نظرانداز کر سکتا ہے اور پراکسی اور پروسیس شدہ ٹریفک کے بارے میں خفیہ معلومات حاصل کر سکتا ہے (کیشے مینیجر انٹرفیس تک رسائی حاصل کر سکتا ہے)۔
- — یو آر ایل میں صارف نام کے ڈیٹا میں ہیرا پھیری کرکے، آپ کیشے میں ایک مخصوص صفحہ کے لیے فرضی مواد کا ذخیرہ حاصل کر سکتے ہیں، جسے، مثال کے طور پر، دوسری سائٹوں کے تناظر میں آپ کے JavaScript کوڈ کے نفاذ کو منظم کرنے کے لیے استعمال کیا جا سکتا ہے۔
ماخذ: opennet.ru