xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version

surf-net ASP 讨论版程序存在安全问题


发布时间:2001-08-21
更新时间:2001-08-21
严重程度:
威胁程度:权限提升
错误类型:访问验证错误
利用方式:服务器模式

受影响系统
surf-net ASP早于2.30版本
http://www.surf-net.co.uk/asp/forum/forum_script.asp
详细描述
surf-net ASP是一个讨论版程序,其中存在漏洞可以导致任何
人成为管理员。任何人可以通过更改本地cookie值,导致访问
论坛时有可能成为管理员用户,问题存在于common.inc中的89行:

lngLoggedInUserID = CLng(Request.Cookies("Forum")("UserID") / 888888)

测试代码
见描述部分

解决方案
修正的2.30版本可以在下面地址找到:

http://www.surf-net.co.uk/asp/forum/forum_script.asp.

相关信息