pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#1 FTP Admin 多个漏洞
来源
secunia.com
软件名
FTP Admin 0.x
描述
这可恶意危害受影响的系统,恶意进行跨站脚本攻击并绕过特定的安全限制
1)index.php中输入的"page"参数在用来包含文件前没有被准确过滤,这可从本地或外部FTP资源中包含任意文件
执行成功需要有效用户认证
2)index.php中由于不正确的授权认证,可通过设置"loggedin" 参数为 "true"登录系统,并在没有有效用户认证的情况下添加新的FTP用户
执行成功需要"register_globals"可用
3)index.php中输入的"error"参数在返回到用户前没有被准确过滤,这可在用户浏览器浏览受影响的网址中时,执行任意HTML和脚本代码。
该漏洞在V0.1.0中已经确认,其它版本可能也受到影响
解决方案
限制访问FTP Admin (例如 ".htaccess")
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
