一些服务器存在着DOTDOTDOT漏洞发布时间:1999-10-06 更新时间:1999-10-06 严重程度:中 威胁程度:远程非授权文件存取 错误类型:设计错误 利用方式:服务器模式 受影响系统 Misc详细描述 vqServer及Sybase PowerDynamo网站服务器存在着一个老的攻击漏洞,此攻击是关于点点(..)的攻击,这是由于在 WINDOW中允许连续的点被解释为级连的目录如'cd ...',解释为'cd ..\..'.而Sybase PowerDynamo,老版本的 vqServer允许远程攻击者绕过WEB安全系统横贯到其他目录.如 http://example.com/...................../config.sys 假如CONFIG.SYS存在在根目录下,就能读文件。又如: http://example.com/../../../../../../ 列出根目录。 测试代码 见描述 解决方案 vqServer 1.9.19以后不存在此漏洞. 相关信息 |
