Baltimore WebSweeper URL过滤可绕过问题发布时间:2001-09-07 更新时间:2001-09-07 严重程度:高 威胁程度:读取受限文件 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Baltimore WebSweeper 4.02详细描述 Baltimore WebSweeper 是Baltimore 科技公司的WEB内容解决方案,可以让用户在WEB,HTTP和被动FTP传输上实现内容安全策略。其中在设计和实现上存在漏洞,可以允许攻击者方便的绕过管理员所设置的限制,如下面的地址是管理员设置的限制: http://source.com/restricted 攻击者可以通过如下方法通过: 1) http://source.com//restricted 2) http://source.com/blabla/../restricted 3) http://source.com/./restricted 4) http://source.com/r%65stricted 测试代码 见上面描述 解决方案 尚无 相关信息 edvice Security Services http://www.edvicesecurity.com/vul29.htm support@edviceSecurity.com |
