VULHUB ™

Mod_SSL是Apache服务器上的SSL实现，用来为Apache Web服务器提供加密支持。 Apache使用mod_ssl模块时会返回没有过滤的服务器名，远程攻击者可以利用这个漏洞构建恶意WEB页，诱使用户点击，进行跨站脚本执行攻击。 当服务器使用\"UseCanonicalName off\"(默认情况下不是默认设置)和统配DNS结合的配置时，就可以导致这个跨站脚本执行攻击漏洞。如果这个设置为off的情况下，Apache就会使用Hostname：port应答HTTP请求，不过在返回的时候没有对hostname数据进行正确的过滤。如果这个设置为on的情况下，Apache就构建自引用URL和使用ServerName：port形式进行应答。 攻击者可以通过构建包含主机名为任意HTML和脚本代码的链接，诱使目标用户点击链接，就可以导致攻击者提供的脚本代码在客户端浏览器上执行，可窃取基于Cookie认证的信息，也可能获得本地文件内容。

Mod_SSL是Apache服务器上的SSL实现，用来为Apache Web服务器提供加密支持。 Apache使用mod_ssl模块时会返回没有过滤的服务器名，远程攻击者可以利用这个漏洞构建恶意WEB页，诱使用户点击，进行跨站脚本执行攻击。 当服务器使用\"UseCanonicalName off\"(默认情况下不是默认设置)和统配DNS结合的配置时，就可以导致这个跨站脚本执行攻击漏洞。如果这个设置为off的情况下，Apache就会使用Hostname：port应答HTTP请求，不过在返回的时候没有对hostname数据进行正确的过滤。如果这个设置为on的情况下，Apache就构建自引用URL和使用ServerName：port形式进行应答。 攻击者可以通过构建包含主机名为任意HTML和脚本代码的链接，诱使目标用户点击链接，就可以导致攻击者提供的脚本代码在客户端浏览器上执行，可窃取基于Cookie认证的信息，也可能获得本地文件内容。