Microsoft IIS帮助文件搜索存在跨站脚本执行漏洞(MS02-018)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204429 漏洞类型 输入验证
发布时间 2002-04-22 更新时间 2005-05-02
CVE编号 CVE-2002-0074 CNNVD-ID CNNVD-200204-035
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200204-035
|漏洞详情
MicrosoftIIS(InternetInformationServer)是MSWindows系统默认自带的Web服务器软件。由于MicrosoftIIS在处理帮助文件搜索功能时没有很好的检查用户输入,可以导致攻击者进行跨站脚本执行攻击。当IIS在处理帮助文件搜索功能时,没有对搜索引擎字段数据进行充分检查,攻击者可以在搜索引擎字段中输入包含恶意脚本代码的链接并返回给浏览此连接的客户端,如果客户端信任此WEB站点,包含在链接中的恶意脚本代码就会在用户浏览器上执行,导致跨站脚本攻击。可能导致攻击获得用户基于Cookie认证的敏感信息。
|参考资料

来源:US-CERTVulnerabilityNote:VU#883091
名称:VU#883091
链接:http://www.kb.cert.org/vuls/id/883091
来源:CERT/CCAdvisory:CA-2002-09
名称:CA-2002-09
链接:http://www.cert.org/advisories/CA-2002-09.html
来源:MS
名称:MS02-018
链接:http://www.microsoft.com/technet/security/bulletin/ms02-018.asp
来源:www.cgisecurity.com
链接:http://www.cgisecurity.com/advisory/9.txt
来源:BID
名称:4483
链接:http://www.securityfocus.com/bid/4483
来源:OSVDB
名称:3338
链接:http://www.osvdb.org/3338
来源:XF
名称:iis-help-file-css(8802)
链接:http://www.iss.net/security_center/static/8802.php
来源:CISCO
名称:20020415MicrosoftIISVulnerabilitiesinCiscoProducts-MS02-018
链接:http://www.cisco.com/warp/public/707/Microsoft-IIS-vulnerabilities-MS02-018.shtml
来源:BUGTRAQ
名称:20020410CgisecurityAdvisory#9:NovellWebsearch,andMicrosoftIISXSSIssues
链接:http://seclists.org/bugtraq/2002/Apr/0126.html
来源:USGovernmentResource:oval:org.mitre.oval:def:46
名称:oval:org.mitre.oval:def:46
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:46