当前位置: 首页 > 图文教程 > 网络编程 > ASP > Carello Web 使 ASP 源码暴露 (APP,缺陷)

ASP
asp生成三维饼图的函数
ASP下的简洁的多重查询的方法与函数 真不错
发一个ASP的ADODB类代码
A利用ASP小偷和Google实现在线翻译功能的代码
ASP类型网站结合动网论坛会员的方法
Asp下实现多表单域无组件文件上传的实例
asp制作中常用到的函数库集合
易心asp分页类 v1.0
asp中xmlhttp组件发包
检测是否为数字类型的asp代码
可以获得文件的文件名的asp函数
用asp实现访问远程计算机上MDB access数据库文件的方法
用ASP实现写IIS日志的代码
asp在IE浏览器中下载服务端上的各类文件的实现方法
asp汉字中文图片验证码的实现代码
asp WAP获取手机终端信息的一段代码
asp取得数组中的最大值的方法
用asp实现的截取指定格式字符串的代码
asp jmail发邮件 详细解析
ASP编程中连接数据库和数据库操作的常用代码

Carello Web 使 ASP 源码暴露 (APP,缺陷)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 124 ::
收藏到网摘: n/a

  涉及程序:
Carello Web on NT running IIS
  
描述:
Carello Web 使 ASP 源码暴露
  
详细:
Carello Web 是一个支持网络购物的软件。
Carello Web 存在一个安全问题使远程攻击者能在系统上建立一个文件,如果这个文件已经存在就会复制一份,并在文件的扩展名
之后有点改动。如:123.asp 会改为 123.asp1 由于扩展名改变,文件会以文本形式被攻击者读取。攻击者能通过 ASP 源程序获
得系统密码。
用法举例:
http://charon/scripts/Carello/add.exe?C:\inetpub\iissamples\default\samples.asp
将建立一个 samples.asp1 并可以读取。攻击者需要知道文件的全路径并在 NTFS 允许匿名 Internet 账号写入的情况下才能成
功。
  
解决方案:
下载新版本。
  
相关站点:
http://www.cerberus-infosec.co.uk/

from: http://www.cnns.net/article/db/353.htm