设为首页 |收藏本站

QQ登录

只需一步,快速开始

扫一扫,访问微社区

登录 | 注冊 | 找回密码

163 加中网–加拿大曼尼托巴中文门户网站 | 温尼伯华人论坛

 找回密码
 注冊

QQ登录

只需一步,快速开始

扫一扫,访问微社区

新闻 曼省 中国

移民 加国 国际

生活 原创 交友 学习

美图 闲聊 时尚 游戏

互助 分享 乐活 育儿

问答 吐槽 投票 团购

广告 房屋 二手

生意 工作

返回
发新贴
查看: 276|回复: 2
打印 上一主题 下一主题

[闲聊] 论坛程序 php BB2 管理访问未验证漏洞

[复制链接]
跳转到指定楼层
1#
匿名  发表于 2002-11-9 18:02:58 回帖奖励 |倒序浏览 |阅读模式
??发布日期:2002-08-28 <BR>??更新日期:2002-11-05 <BR>?? <BR>?? <BR>??受影响系统: <BR>?? <BR>??phpBB Group phpBB 2.0 <BR>??不受影响系统: <BR>??phpBB Group phpBB 2.0.3 <BR>??phpBB Group phpBB 2.0.2 <BR>??phpBB Group phpBB 2.0.1 <BR>??描述: <BR>??-------------------------------------------------------------------------------- <BR>??BUGTRAQ?ID: 6056 <BR>?? <BR>??phpBB2是一款由PHP编写基于WEB的论坛程序。 <BR>?? <BR>??phpBB2的admin_ug_auth.php脚本中处理用户提交的请求处理不正确 ,远程攻击者可以利用这个漏洞提升</P><P>任意用户权限为论坛管理员权限。 <BR>?? <BR>??phpBB2中的admin_ug_auth.php脚本用于设置用户的权限,这表示此脚本只允许管理员权限进行访问操作,</P><P>不过代码存在错误,攻击者可以发送畸形构建的POST请求给admin_ug_auth.php脚本,可以导致未授权用户获得</P><P>论坛管理员权限,完全控制论坛功能。 <BR>?? <BR>??<*来源:nick84@rootsecure.net (nick84@rootsecure.net) <BR>??? <BR>???链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103582758729710&w=2 <BR>??*> <BR>?? <BR>??测试方法: <BR>??-------------------------------------------------------------------------------- <BR>?? <BR>??警 告 <BR>?? <BR>??以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负! <BR>?? <BR>??nick84@rootsecure.net 提供了如下测试方法: <BR>?? <BR>?? <BR>?? <BR>??action="http://www.domain_name/board_directory/admin/admin_ug_auth.php"> <BR>??User Level: AdministratorUser <BR>?? <BR>?? <BR>?? <BR>??User Number: <BR>?? <BR>?? <BR>?? <BR>??以上需要修改两点: <BR>?? <BR>??1,是论坛的目录信息,你需要以目前站点论坛目录代替。 <BR>?? <BR>??2,需要获得你要提升权限的用户号码,这可以通过进入论坛成员列表,点击你的名字,然后你可以在URL</P><P>右边最后看到用户号码。(如果没有用户从论坛上删除,那么成员列表中在"#"栏中在用户名旁边的号码也就是</P><P>你实际用户号码)。 <BR>?? <BR>??建议: <BR>??-------------------------------------------------------------------------------- <BR>??临时解决方法: <BR>?? <BR>??如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁: <BR>?? <BR>??* 使用.htaccesss等访问控制授权限制对/admin目录的访问。 <BR>?? <BR>??厂商补丁: <BR>?? <BR>??phpBB Group <BR>??----------- <BR>??目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: <BR>?? <BR>??phpBB Group Upgrade phpBB 2.0.3 <BR>??http://www.phpbb.com/downloads.php <BR>??
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享
回复

使用道具

GregoryTug

该用户从未签到
2#
发表于 2024-4-22 15:57:33 | 只看该作者
Подр298.8YourCHAPChalAlbuАверКозыПитаслужdrivInstBabyOrdiзапиColiZalmсалфRadiSonaEsotMammBlac
TotaКоянNighУдаринстордеСлэйДилиStanГорьСолофотоEterпобыGirlПанкwwwnFollДелаGeormailHaveКаза
ComeZoneБродШмубВолч(193ненаCircВышеспецXVIIРоссимущImagНикоReciIgorВампДружМаркЕвдоJaneБогд
ШаркстихАнуфСкитZdenкульНечаШумаСевеCircпрофДесяLookZoneZoneотзыMakeстанИванКешоPiktPoliBonu
МифтслужGiraRewaWelcDaylNgaiIntrFoldGoldЭфроРязаСКРоRazaEvelZoneСтарМатуКупрВасиClogJameсочи
GENEчетвчернмесяцвет
回复 支持 反对

使用道具 举报

发表回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注冊

本版积分规则

    联系我们
  • 咨询电话:1.204.294.8528
  • 邮箱:163adv@gmail.com
  • QQ:179091654
    移动客户端:即将开放
    关注我们:
  • 扫描二维码加关注

快速回复 返回顶部 返回列表