DCShop 存在文件泄露问题发布时间:2001-06-19 更新时间:2001-06-19 严重程度:高 威胁程度:远程非授权文件存取 错误类型:配置错误 利用方式:服务器模式 受影响系统 http://www.dcscripts.com/dcforum/dcshop/44.html详细描述 DCShop可以作为电子商务系统,不过其存在漏洞可以导致未认证 用户通过WEB浏览器获得客户信用卡号和其他信息。问题是对一些 目录的文件属性没有很好的设置。 测试代码 http://theTargetHost/cgi-bin/DCShop/Orders/orders.txt 可以泄露用户名,地址,EMAIL和卡号和限制日期。 http://theTargetHost/cgi-bin/DCShop/Auth_data/auth_user_file.txt 可以发现管理员密码和用户名。 解决方案 尚无 相关信息 Peter Helms Ernst & Young, Denmark peter.helms@ey.dk |
