BUGTRAQ ID: 28277
CVE(CAN) ID: CVE-2008-1470
RSA认证代理软件是非常流行的动态认证工具,可控制对公司网络、基于Web的应用和操作系统的访问。
RSA认证的服务器端脚本/WebID/IISWebAgentIF.dll没有正确地过滤postdata参数输入,如果攻击者通过POST或GET方式传送了恶意参数的话,就可能导致跨站脚本攻击。
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://www.rsasecurity.com” target=“_blank”>http://www.rsasecurity.com</a>
https://target-domain.foo/WebID/IISWebAgentIF.dll?stage=useridandpasscode&referrer=Z2F&sessionid=0&postdata=%22%3E%3Cscript%3Ealert(%22XSS%22)%3C/script%3E%3Ca%20b=%22&authntype=2&username=test&passcode=test
htt