RedHat Piranha Virtual工具包存在明文密码漏洞发布时间:2000-05-11 更新时间:2000-05-11 严重程度:高 威胁程度:普通用户访问权限 错误类型:设计错误 利用方式:服务器模式 受影响系统 RedHat Piranha Virtual工具包存在明文密码漏洞详细描述 通过HTTP,密码作为参数传递给GET请求时是不安全的,未授权用户可以通过读取HTTPD的访问记录或者嗅探器来获得明文的密码。 测试代码 下面是一段/etc/httpd/logs/access_log记录: ---------[from /etc/httpd/logs/access_log]----------- ... 127.0.0.1 - piranha [19/May/2000:14:00:48 +0200] "GET /piranha/secure/passwd.php3?try1=xxx&try2=xxx&passwd=ACCEPT HTTP/1.0" 200 3120 127.0.0.1 - piranha [19/May/2000:14:01:03 +0200] "GET /piranha/secure/passwd.php3?try1=yyy&try2=yyy&passwd=ACCEPT HTTP/1.0" 200 3120 127.0.0.1 - piranha [19/May/2000:20:58:50 +0200] "GET /piranha/secure/passwd.php3?try1=arkth&try2=arkth&passwd=ACCEPT HTTP/1.0" 200 3120 .. 解决方案 一个临时的方法是对HTTP的ACCESS LOG限制访问权限。 相关信息 尚无 |
