Blahz-DNS验证可绕过漏洞发布时间:2002-04-30 更新时间:2002-04-30 严重程度:高 威胁程度:控制应用程序系统 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Blahz-DNS 0.2和之前版本详细描述 Blahz-DNS是基于PHP/MySQL的DNS管理软件,支持主次区域,用户验证,限制访问等操作。 Blahz-DNS存在安全问题,只对登陆页面接收用户和密码的组合验证,而其他页面访问不需要任何密码。 测试代码 http://www.example.com/dostuff.php?action=modify_user 攻击者可以方便的更改用户密码或者增加用户。 解决方案 使用.htpasswd临时限制访问。 相关信息 ppp-design (security@ppp-design.de) 参考:http://archives.neohapsis.com/archives/bugtraq/2002-04/0395.html 相关主页:http://blahzdns.sourceforge.net |
