Check Point VPN-1 SecuRemote 存在用户名可猜测问题发布时间:2001-10-24 更新时间:2001-10-24 严重程度:中 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 受影响系统 Check Point VPN-1 SecuRemote详细描述 在登陆VPN-1 SecuRemote期间会出现认证对话框来进行验证,由于不正确 用户名或者密码产生的错误登陆反映会不同,如果用户名合法和密码不正确, SecuRemote会返回message "Access denied by FireWall-1 authentication" 的对话框。而用户名非法,SecuRemote会返回"User <unknown_user> not found" 的对话框。可以导致攻击者进行用户名猜测并暴力破解。 测试代码 见描述 解决方案 尚无 相关信息 Kratter, Dave (dave@mimeo.com) 参考:http://archives.neohapsis.com/archives/bugtraq/2001-10/0206.html |
