微点交流论坛

标题: FTP Admin 多个漏洞 [打印本页]

作者: pioneer 时间: 2007-12-5 09:54 标题: FTP Admin 多个漏洞

来源

secunia.com

软件名

FTP Admin 0.x

描述

这可恶意危害受影响的系统，恶意进行跨站脚本攻击并绕过特定的安全限制

1)index.php中输入的"page"参数在用来包含文件前没有被准确过滤，这可从本地或外部FTP资源中包含任意文件
执行成功需要有效用户认证

2)index.php中由于不正确的授权认证，可通过设置"loggedin" 参数为 "true"登录系统，并在没有有效用户认证的情况下添加新的FTP用户
执行成功需要"register_globals"可用

3)index.php中输入的"error"参数在返回到用户前没有被准确过滤，这可在用户浏览器浏览受影响的网址中时，执行任意HTML和脚本代码。

该漏洞在V0.1.0中已经确认，其它版本可能也受到影响

解决方案

限制访问FTP Admin (例如 ".htaccess")

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn