阅读时间: 1 分钟
根据国土安全部计算机应急响应小组 (US-CERT) 的说法,赛门铁克 Web Gateway 包含 SQL 注入和跨站点脚本漏洞。
Symantec Web Gateway 5.1.1.24 和可能的更早版本在 /spywall/entSummary.php、/spywall/custom_report.php、/spywall/host_spy_report.php 和/spywall/repairedclients.php 页面。
这意味着远程未经身份验证的攻击者可能能够注入任意脚本或 SQL 命令。 Symantec Web Gateway 用户应升级到 5.2.1 或更高版本
国土安全部建议您只允许来自受信任主机和网络的连接,以防止攻击者使用来自被阻止网络位置的窃取凭据访问 Web 界面。
限制访问不会阻止 XSS 或 SQLi 攻击 因为攻击来自合法用户主机的请求。
Symantec Web Gateway 是一种 Web 过滤软件,旨在保护组织免受恶意软件的侵害。
