StepWeb搜索引擎管理员WEB页面可访问漏洞发布时间:2002-04-18 更新时间:2002-04-18 严重程度:高 威胁程度:控制应用程序系统 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:4503 受影响系统 Stepweb SWS 2.5详细描述 StepWeb Search Engine (SWS)是使用文件数据库形式存储搜索套木的脚本。 远程攻击者可以猜测管理员页面位置并获得对软件进行管理员访问。问题存在于管理员脚本密码信息包含在硬性连接上。可以导致攻击者增加任意搜索条目或者访问搜索日志。 测试代码 http://www.mysite.com/sws/admin.html ,点击连接,硬性连接信息会显示密码信息。 解决方案 使用.htaccess限制管理员页面访问。 相关信息 "BrainRawt ." <brainrawt@hotmail.com>. 参考:http://online.securityfocus.com/archive/1/267301 相关主页:http://www.stepweb.com/ |
