发布日期：2002-12-01
更新日期：2002-12-04

受影响系统：

Webster HTTP

描述：

---

Webster HTTP是一款使用MFC由C++编写的HTTP/1.0服务程序。

Webster HTTP没有正确过滤用户提交的URI请求，远程攻击者可以利用这个漏洞进行目录遍历攻击，以WEB进程权限在系统上执行任意指令。

Webster HTTP没有正确处理URL路径中包含'../'字符的请求，攻击者提交多个'../'字符可以绕过WEB ROOT路径限制，以WEB进程权限遍历系统文件，导致系统敏感信息泄露，如SAM文件信息。

<*来源：Matthew Murphy （mattmurphy@kc.rr.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103884335930492&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Matthew Murphy （mattmurphy@kc.rr.com）提供了如下测试方法：

演示程序如下：

http://www.techie.hopto.org/exploits/webster2.txt

建议：

---

厂商补丁：

Webster
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.netdave.com/webster/webster.htm

浏览次数：3184
严重程度：0（网友投票）