受影响系统: Microsoft Internet Explorer 6.0.2900.2180 Microsoft Internet Explorer 5.01 不受影响系统: Microsoft Internet Explorer 7.0 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 28208 Internet Explorer是微软发布的非常流行的WEB浏览器。 如果用户访问了包含有恶意FTP URL的网页的话,Internet Explorer 5和6解码可能无法正确地过滤URL,强制Internet Explorer通过在HTML元素所提供的URL中每条命令后注入URL编码的CRLF对连接起FTP命令。
[iframe src="ftp://user@site:port/ DELE foo.txt //"/]
此外,如果恶意URL的末尾添加了两个斜线的话,Internet Explorer就会试图使用同一浏览器会话中用户之前所创建的已通过预认证的连接。 如果用户已将通过预认证连接到FTP服务器,知道了该连接用户名和端点的攻击者就可以依附到用户会话以执行任意命令。预认证连接不是这种攻击所必须的条件,因为如果URL中没有指定用户名的话,Internet Explorer就会尝试匿名登录。如果仅指定了用户名,没有将结尾的斜线附加到字符串,Internet Explorer就会发送带有空口令的用户名;如果没有指定用户名,Internet Explorer就会试图使用IEUser@用户登录。 某些攻击可能取决于目标FTP服务器所使用的命令tokenize策略及安全配置,例如,大多数FTP服务器不允许与请求客户端不同地址端点的PORT请求。 <*来源:Derek Abdine 链接:http://secuni *** /advisories/29346/ http://www.rapid7.com/advisories/R7-0032.jsp *> 建议: -------------------------------------------------------------------------------- 厂商补丁: Microsoft --------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本
上个礼拜有网友说,我博客被黑了,其实不是这么回事,只是我自己建立了一个栏目在做黑帽SEO的测试,因为前段时间关键词部分黑帽关键词被和谐了,所以测试我的黑帽SEO技术是否还有价值,事实证明,只是和谐了关...
本文目录一览: 1、华为手机隐藏屏幕功能怎么开? 2、华为手机的隐藏空间在哪里?怎么开启? 3、华为手机有几个隐藏功能 4、华为荣耀手机如何隐藏应用? 5、华为手机隐藏功能在哪儿?...
麻辣烫行业是如今很是热门的餐饮行业之一,自推出以来,就受到了宽大消费者的热烈的追捧,同时也降生了很多品质优良的麻辣烫加盟品牌,成长的前景可谓长短常的光亮。巴山味庄砂锅麻辣烫就是个中最为红火的加盟品牌之...
电脑上被网络黑客0操纵该怎么办 电脑上网站渗透初学者(电脑上网站渗透新手入门) 手机怎么错位网络黑客的dnf搬砖 天地信息公开系统官网(天地信息公开系统官网(河南省)) 网络黑客编...
资料图:美国伯才业大亨阿德尔森。 据报道,当地时间12日上午,阿德尔森名下的“拉斯维加斯金沙集团”发布的一份新闻稿称,阿德尔森死于非霍奇金淋巴瘤治疗相关的并发症。 据《福布斯》杂志估计,阿...
斯里兰卡首都(斯里兰卡的宝石便宜吗)原创寒江2018-11-15 08:10:00 最近,北京市政府的大部分职能部门终于迁到通州区了,这可能会让人有些困惑,北京还是北京市的北京吗?自然,通州也属...