有關代理伺服器中的漏洞的信息 ,去年在 Squid 4.8 的發布中就被悄悄淘汰了。 該問題存在於處理 URL 開頭的「@」區塊(「user@host」)的程式碼中,可讓您繞過存取限制規則、毒害快取內容並執行跨網站腳本攻擊。
- — 使用專門設計的 URL 的用戶端可以繞過使用 url_regex 指令指定的規則,並取得有關代理程式和已處理流量的機密資訊(取得對快取管理器介面的存取權)。
- — 透過操作 URL 中的使用者名稱數據,您可以在快取中儲存特定頁面的虛構內容,例如,可以使用該內容在其他網站的上下文中組織 JavaScript 程式碼的執行。
來源: opennet.ru