安全研究
安全漏洞
IIS ASP VBScript运行出错可查看源代码
发布日期:2000-02-10
更新日期:2000-02-10
受影响系统:Microsoft IIS 5.0
+ Microsoft Windows NT 2000.0
Microsoft IIS 4.0
+ Microsoft Windows NT 4.0
- Microsoft BackOffice 4.5
- Microsoft Windows NT 4.0
Microsoft IIS 3.0
+ Microsoft Windows NT 4.0
描述:
<<来源:jwalsh@jwsg.com>>
ASP程序本身或是它的构件出错的话,会返回ASP中include文件的路径信息.这些文件可下载,并有可能包含象数据库(.mdb)位置,站点和网络结构,还有您的商业(交易)模式。
在某些情况下,那些不完善的.asp页面可被搜索引擎排序,攻击者就可以通过搜索字符串如:"Microsoft VBScript runtime error"来找出该页面来。甚至在修改过ASP代码后,仍有可能通过搜索引擎的cache来查看相关的文档备份,由此而得到必需的信息。
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
在错误信息中找出包含文件的路径。
例如错误信息为: "Microsoft VBScript runtime error ''800a0005'' Invalid procedure call or argument: ''mid'' /common/browser.inc, line 4..."
则可将此文件名与路径加到URL后,如:
http ://target/common/browser.inc
建议:
暂无,在发布前认真调试好程序
浏览次数:6868
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |