MSIE6 可以读取本地文件内容发布时间:2001-12-17 更新时间:2001-12-17 严重程度:高 威胁程度:读取受限文件 错误类型:设计错误 利用方式:服务器模式 受影响系统 IE 6/ Win98详细描述 IE 6中附带的Microsoft.XMLHTTP组件存在一个漏洞,可以导致读和发送本地文件, 此Microsoft.XMLHTTP没有很好的处理Http重定向到本地文件,要正确利用这个漏洞 需要知道本地文件名,此漏洞不区分扩展名,文本或者两进制形式。 测试代码 演示程序如下: http://www.xs4all.nl/~jkuperus/bug.htm 解决方案 临时方法:关闭active脚本可执行。 相关信息 jelmer (jelmer@kuperus.xs4all.nl) 参考:http://archives.neohapsis.com/archives/bugtraq/2001-12/0152.html |
