Carello Web 使 ASP 源码暴露 (APP,缺陷)
发布时间:
2006-10-14 2:38:05
收集提供:
gaoqian
涉及程序:
Carello Web on NT running IIS
描述:
Carello Web 使 ASP
源码
暴露
详细:
Carello Web 是一个支持网络购物的软件。
Carello Web 存在一个安全问题使远程攻击者能在系统上建立一个文件,如果这个文件已经存在就会复制一份,并在文件的扩展名
之后有点改动。如:123.asp 会改为 123.asp1 由于扩展名改变,文件会以文本形式被攻击者读取。攻击者能通过 ASP 源程序获
得系统密码。
用法举例:
http://charon/scripts/Carello/add.exe?C:\inetpub\iissamples\default\samples.asp
将建立一个 samples.asp1 并可以读取。攻击者需要知道文件的全路径并在 NTFS 允许匿名 Internet 账号写入的情况下才能成
功。
解决方案:
下载新版本。
相关站点:
http://www.cerberus-infosec.co.uk/
from: http://www.cnns.net/article/db/353.htm
|
网站空间
|
网络空间
|
域名注册
|
网站推广
|
虚拟主机
|
网通空间
|
电信空间
|
ftp空间
|
wap空间
|
|
asp空间
|
aspx空间
|
.net空间
|
php空间
|
数据库空间
|
html5空间
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50