Hosting Controller 存在用户可猜测漏洞发布时间:2002-01-30 更新时间:2002-01-30 严重程度:中 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 受影响系统 Hosting Controller 1.4.1详细描述 Hosting Controller是一款管理主机工具,能自行操作主机任务和完全控制站点。 其中存在一个漏洞可以验证用户是否存在,然后采用暴力破解进行攻击。 测试代码 攻击者可以通过如下路径进行登陆: http://www.thesite.com.tr/admin/ http://www.thesite.com.tr/webadmin/ http://www.thesite.com.tr/advwebadmin/ http://www.thesite.com.tr/hostingcontroller/ 如果不存在的用户名输入,表单会返回如下信息: "The user name could not be found". 但如果用户存在而输入密码不正确,就会返回不同的信息如: "The user has entered an invalid password". 这样就导致远程攻击者可以通过猜测用户名并进行暴力破解。 解决方案 请关注供应商主页,在1到2星期之间会推出补丁程序: http://www.hostingcontroller.com/ 相关信息 Ahmet Sabri ALPER (s_alper@hotmail.com) 参考:http://archives.neohapsis.com/archives/bugtraq/2002-01/0339.html |
