|
Duyuru Tarihi: 1 Şubat 2007
CVE:
CVE-2007-1609
BID:
23102
Açıklama: Dinamik
olarak oluşturulan web sayfalarında,
kullanıcı tarafından sağlanan bilgiler
uygulama tarafından düzgün bir şekilde
işlenemediği veya kontrol edilemediği
durumlarda, yetkisiz kişiler istedikleri
script kodlarının görüntülenecek sayfada
çalışmasını sağlayabilirler. Söz konusu
problem Cross Site Scripting (XSS) olarak
adlandırılmaktadır. Bu problem ile daha çok
girilen arama metnini tekrar browserda
görüntüleyen arama motorları, hataya yol
açan metni tekrar eden hata mesajları,
doldurulan değerlerin sonradan kullanıcıya
görüntülendiği form’lar, kullanıcıların
kendi mesajlarını yayınlayabilmelerine izin
veren web mesaj boardları gibi uygulamalarda
ortaya çıkmaktadır. Söz konusu saldırının
hedefi direkt olarak sunucuya bağlanan
kullanıcılardır. Uygulamalardaki XSS
açıkları kullanılarak, bağlanan
kullanıcıların sessionid, cookie gibi
bilgileri çalınmaya çalışılır. Her ne kadar
hedef direkt olarak kullanıcı olsa da
neticede doğacak zarar yine uygulamadan
kaynaklanmaktadır. Gerçekleştirilen testler
sistem üzerindeki uygulamaların büyük bir
bölümünde bu açığın bulunduğunu
göstermektedir. Bu açık yetersiz parametre
denetimlerinin sonucu olarak ortaya
çıkmaktadır.
Gerçekleştirilen güvenlik denetleme
çalışmaları sırasında Oracle Dynamic
Monitoring servisinin XSS tipi saldırılar
gerçekleştirme için kullanılabileceği tespit
edilmiştir.
Aşağıda söz konusu açığın nasıl
kullanılacağı ile ilgili örnek yer
almaktadır.
http://websitesi/servlet/Spy?format=metrictable&cache=false&interval=6400000&table=<script>alert('inTellectPRO')</script>&orderby=Name
Etkilenen Sürüm: Oracle Portal 9i,
10g
Etki Alanı: Uzaktan Erişim
Risk Seviyesi: Düşük / Orta
Çözüm: Konuyla ilgili olarak üretici
firma tarafından yapılmış herhangi bir
açıklama bulunmamaktadır.
Not: Yukarıda belirtilen ve diğer
Oracle Application Server güvenlik
açıklarını kontrol etmek için inTellectPRO
teknik ekibi tarafından geliştirilen
OAPScan aracı kullanılabilir. |
Türkçe | 
