安全研究
安全漏洞
Pascal Michaud ASP Client Check认证机制可绕过漏洞
发布日期:2002-05-06
更新日期:2002-05-10
受影响系统:PascaL Michaud ASP Client Check 1.5
PascaL Michaud ASP Client Check 1.3
不受影响系统:PascaL Michaud ASP Client Check 1.6
描述:
BUGTRAQ ID:
4676
CVE(CAN) ID:
CVE-2002-1699
Pascal Michaud's ASP Client Check是一款设计为任意WEB服务提供用户名/密码验证的ASP脚本。
Pascal Michaud's ASP Client Check对用户提交给密码字段的数据缺少正确充分过滤,可导致远程攻击者无需密码访问系统。
由于对用户提交给验证机制的SQL查询的数据缺少正确的检查和判断,攻击者可以使用不正常的输入修改查询,导致攻击者可以在知道用户名的情况下无需密码访问受保护系统,包括管理员权限。
<*来源:Derek Hinch (
derek@sybodek.com)
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 修改程序,严格过滤用户输入数据。
厂商补丁:
PascaL Michaud
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
PascaL Michaud Upgrade Aspcc16.zip
http://www.instagib.com/pm/aspcc/Aspcc16.zip浏览次数:2916
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |