发布日期：2000-02-16
更新日期：2000-02-18

受影响系统：

Microsoft FrontPage Personal WebServer 3.0.2.926
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0

描述：

---

    由于FrontPage Personal Web Server允许在请求的URL中有'/..../'字符串，这就让远程用户获得了对FrontPage-PWS所在逻辑驱动器上的文件和路径的读访问，就象浏览Web站点一样。Frontpage-PWS32/3.0.2.926允许任意用户通过对任一路径中的文件发出请求，可以很轻松的访问到硬盘驱动器(如c:\),除该文件是位于FrontPage路径下。如：

http://target/..../directory/filename.ext

    被设置了隐藏属性的文件和目录也不会幸免。虽然FrontPage所在目录不是隐藏的，但隐藏属性的文件和目录都可以通过此方法来查看。攻击者可由此查看很多敏感信息。


建议：

---

暂无

浏览次数：6451
严重程度：0（网友投票）