MySimpleNews远程管理员密码可获取漏洞发布时间:2002-10-09 更新时间:2002-10-09 严重程度:高 威胁程度:口令恢复 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:5866 受影响系统 MySimpleNews MySimpleNews 1.0详细描述 MySimpleNews以明文方式把密码存储在远程任意用户可读取的HTML文件中。 攻击者可以通过查看admin.html文件源代码获得。 测试代码 moncode = prompt('MySimpleNews - Administration',''); if (moncode != "[ADMINPASSWORD]") { location.href="about:Erreur 403"; } 解决方案 无 相关信息 Frog Man <leseulfrog@hotmail.com>. 参考:http://online.securityfocus.com/archive/1/293871 |
