受影响系统:
HTTP File Server HTTP File Server 2.2
不受影响系统:
HTTP File Server HTTP File Server 2.2f
描述:
HTTP File Server是Windows平台上的小型文件服务器。
远程攻击者可以通过向HTTP File Server提交包含有“%00”字符的HTTP请求从受限制的文件夹中下载文件,或提交包含有“%”字符的HTTP请求触发死循环,导致服务器挂起。
<*来源:Luigi Auriemma (aluigi@pivx.com)
链接:http://secunia.com/advisories/39499/
http://aluigi.altervista.org/adv/hfsref-adv.txt
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://SERVER/protected_folder/secret_file.txt%00
http://SERVER/?search=%25%25
建议:
厂商补丁:
HTTP File Server
—————-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。