关键信息 漏洞名称: Microsoft .NET request filtering bypass vulnerability 风险等级: Medium CVE编号: CVE-2006-7192 CVE类型: CVE-Other CVSS Base Score: 4.3/10 攻击复杂度: Medium 影响分数: 2.9/10 认证要求: No required 发布日期: 2007.04.11 漏洞细节 发现日期: 2006年7月7日 影响的环境: - Microsoft Windows Server 2003 Standard Edition Build 3790.srv03_sp1_rtcm.050324-1447 Service Pack 1 - Microsoft IIS 6.0 - Microsoft ASP.NET Framework Version 2.0.50727.42 - Microsoft Internet Explorer 6.0.2900.2180.xpsp_sp2_gdr.050301-1519 - Microsoft Internet Explorer 7.0.5450.4 Beta 3 - Microsoft Internet Explorer 7.0.5730.11 严重性: Medium CVE候选: Not assigned 描述: 通过理解ASP.NET恶意请求筛选功能,可以绕过ASP.NET请求筛选并执行XSS和HTML注入攻击。 利用方法和影响 攻击类型: XSS and HTML injection 潜在后果: 可以进行重定向、Cookie窃取和不受限制的HTML注入攻击。 示例利用代码: 提供了多个利用漏洞的代码示例,包括Alert box injection、Redirection Attack、Cookie stealing和Unrestricted HTML injection from external '.js' file。 解决方案 不依赖于ASP.NET过滤保护,应服务器端应用中对所有输入参数进行清理和白名单处理。 参考文献 提供了四个相关链接,涉及漏洞详细描述和owasp.org相关的项目页面等。