| CNNS安全公告1999-12---FTP文件传输劫持风险 (Other,缺陷) |
| |
| 涉及程序: |
| Any FTP Server |
| |
| 描述: |
| 在进行任何FTP文件传输时,文件可以被其他在线用户劫持 |
| |
| 详细: |
FTP是一个脆弱而且漏洞较多的协议。FTP有两个通道,一个控制通道,一个传输通道。在passive模式下服务器并不检查客户端的地址。因此在一个文件传输发生的情况下,传输的数据可以被第三个用户劫持。
FTPhijak.exe是本站编写的一个示范工具,可以实现对任意用户传输中的文件进行劫持。如果这时一个根用户正在下载重要的配置文件或者密码文件,后果就非常严重了。劫持过来的数据以dat的后缀放在当前目录下,目前该工具只支持匿名登录的FTP服务器。对任何FTP服务有效!即使是微软的站点也不例外! |
| |
| 解决方案: |
| 禁止FTP匿名登录,禁止你不信任的具有FTP权限的帐号 |
| |
| 附加信息: |
| CNNS安全公告1999-12/转载请注明出处 |
| |
| 相关下载: |
| http://www.cnns.net/frankie/hack1/ftphijak.exe |
| |
| 相关站点: |
| http://my.szptt.net.cn/frankie |
| |
| 发布时间:1999年12月22日 |
返回 |
| 版权所有,如需转载,请与安络联系 |
