DB4Web连接代理存在漏洞发布时间:2002-09-20 更新时间:2002-09-20 严重程度:中 威胁程度:隐蔽攻击 错误类型:配置错误 利用方式:服务器模式 BUGTRAQ ID:5725 受影响系统 DB4Web DB4Web 3.4详细描述 DB4Web是应用服务程序允许读和写访问关系型数据库和通过WEB访问其他信息资源,使用在多种操作系统下。 通过请求特殊不正规的URL请求,可导致从有此漏洞的服务器初始化TCP连接到远程任意IP地址和端口。 这个漏洞可以用来未授权扫描其他主机,服务器然后会生成调试页面,用于判断被扫描主机的端口状态。 测试代码 http://127.0.0.1/DB4Web/172.31.93.30:22/foo 解决方案 无 相关信息 参考:http://online.securityfocus.com/archive/1/661 |
