漏洞详情

披露状态:

2014-07-28: 细节已通知厂商并且等待厂商处理中
2014-08-02: 厂商已经确认,细节仅向厂商公开
2014-08-05: 细节向第三方安全合作伙伴开放
2014-09-26: 细节向核心白帽子及相关领域专家公开
2014-10-06: 细节向普通白帽子公开
2014-10-16: 细节向实习白帽子公开
2014-10-26: 细节向公众公开

简要描述:

WinIIS是现在国内市场占有率最高的主机系统(没有之一),这个影响有点大哦~
去年年底数万域名被恶意泛解析,基本都是因为WinIIS的漏洞,而且是明文密码被拖库导致的。
用WinIIS的小伙伴们也不用担心,只要不随便给别人开放API接口就行了。

详细说明:

WinIIS是现在国内市场占有率最高的主机系统(没有之一),这个影响有点大哦~
去年年底数万域名被恶意泛解析,基本都是因为WinIIS的漏洞,而且是明文密码被拖库导致的。
用WinIIS的小伙伴们也不用担心,只要不随便给别人开放API接口就行了。
存在漏洞的地址:
/API/RegAPI.asp

图片1.jpg


漏洞证明:

利用代码:

图片2.jpg


慧琳域名,主机密码都是明文的,乌云的小伙伴们又可以快乐的爆库了

修复方案:

慧琳懂的

标签: none

评论已关闭