xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version

WINDOWS 2000 默认安装可以导致未授权数据库访问


发布时间:2001-08-06
更新时间:2001-07-06
严重程度:
威胁程度:服务器信息泄露
错误类型:配置错误
利用方式:服务器模式

受影响系统
W2K
详细描述
W2K系统的ODBC数据资源默认安全设置存在问题,在部分环境
下,存在漏洞可以让未授权用户获得对数据库的访问。

默认情况下,W2K把系统DSN信息放在两个位置上:一是在%systemroot%
目录下的ODBC.INI文件,还有就是HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI
注册表中。文件和注册表默认权限是本地用户都能读。在IIS服务器
上,IUSR匿名帐户是USER组成员,任意用户有能力上载脚本的话就可以列出
DSN列表使用标准脚本模式来访问注册表或者ODBC.INI文件。Macromedia
产品如Dreamweaver Ultradev就能做这个功能,FTP 一ASP脚本来读
ODBC.INI文件。

测试代码
见描述部分。

解决方案
正确设置ODBC.INI和注册表安全。

相关信息