Security Lab

Раскрытие Username/Password в сценарии Killer Protection,

Дата публикации:09.10.2002
Всего просмотров:804
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость, обнаруженная в сценарии Killer Protection (http://php3scripts.cjb.net ), позволяет неправомочным пользователям обращаться к чувствительным данным, запрашивая 'vars.inc' файл в злонамеренном HTTP запросе. Уязвимость позволяет удаленному пользователю раскрыть имена пользователей и пароли, которые могут использоваться в дальнейших нападениях.

Пример:

http://[target]/vars.inc 
и
http://[target]/protection.php?mode=display&username=[LOGIN]&password=[PASSWORD] 
Уязвимость обнаружена в Killer Protection 1.0
Ссылки: phpSecurePages & Killer Protection ( PHP )