MakeBid Auction Deluxe 敏感信息以明文方式存储漏洞发布时间:2002-02-18 更新时间:2002-02-18 严重程度:中 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:4070 受影响系统 USANet Creations MakeBid Auction Deluxe 3.30详细描述 MakeBid Auction Deluxe 是一款主机实时拍卖软件。 MakeBid Auction Deluxe 存在漏洞把认证信息以明文方式存在COOKIE中。 而MakeBid Auction Deluxe 又存在跨站脚本可执行漏洞,可以导致远程用户查看 COOKIE信息,结合这两个漏洞可以导致攻击者可以进行合法帐户操作。 测试代码 见描述 解决方案 不使用"Cookie Auto Login"特征。 相关信息 Blake Frantz <blake@mc.net>. 参考:http://www.securityfocus.com/archive/1/255251 相关主页:http://www.netcreations.addr.com/auctiondeluxe.html |
