当前位置: 首页 > 图文教程 > 网络编程 > ASP > Carello Web 使 ASP 源码暴露 (APP,缺陷)

ASP
ASP 3.0高级编程(二十七)
ASP 3.0高级编程(二十八)
ASP 3.0高级编程(二十九)
ASP 3.0高级编程(三十)
ASP中时间函数的使用(一)
ASP中时间函数的使用(二)
ASP中时间函数的使用(三)
.NET之ASP WebApplication快速入门(1)
.NET之ASP WebApplication快速入门(2)
.NET之ASP WebApplication快速入门(3)
.NET之ASP WebApplication快速入门(4)
.NET之ASP WebApplication快速入门(5)
asp.NET特写
ASP 3.0高级编程(七)
ASP 3.0高级编程(八)
ASP.NET 入门的五个步骤
ASP 组件指南
XML 数据的编码方式
ASP 3.0高级编程(九)
ASP 3.0高级编程(十)

Carello Web 使 ASP 源码暴露 (APP,缺陷)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 54 ::
收藏到网摘: n/a

  涉及程序:
Carello Web on NT running IIS
  
描述:
Carello Web 使 ASP 源码暴露
  
详细:
Carello Web 是一个支持网络购物的软件。
Carello Web 存在一个安全问题使远程攻击者能在系统上建立一个文件,如果这个文件已经存在就会复制一份,并在文件的扩展名
之后有点改动。如:123.asp 会改为 123.asp1 由于扩展名改变,文件会以文本形式被攻击者读取。攻击者能通过 ASP 源程序获
得系统密码。
用法举例:
http://charon/scripts/Carello/add.exe?C:\inetpub\iissamples\default\samples.asp
将建立一个 samples.asp1 并可以读取。攻击者需要知道文件的全路径并在 NTFS 允许匿名 Internet 账号写入的情况下才能成
功。
  
解决方案:
下载新版本。
  
相关站点:
http://www.cerberus-infosec.co.uk/

from: http://www.cnns.net/article/db/353.htm