发布日期：2002-05-27
更新日期：2002-06-02

受影响系统：

Virtual Programming VP-ASP 4.0
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP2
    - Microsoft Windows 2000 SP1
    - Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 4843

Virtual Programming VP-ASP是一款商业性质的电子购物应用系统，由ASP脚本编写。

Virtual Programming VP-ASP测试页存在漏洞，可导致远程攻击者获得系统安装路径信息。

Virtual Programming VP-ASP默认存在'/demo400/shopdbtest.asp'脚本，在测试数据库文件时存在漏洞，可导致服务器返回包含系统安装路径的错误信息给远程攻击者。攻击者可以利用此信息进一步对系统进行攻击。

<*来源：hkvrg thdftghr （alias404@hotmail.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-05/0229.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

hkvrg thdftghr （alias404@hotmail.com）提供了如下测试方法：

提交http://www.vpasp.com/demo400/shopdbtest.asp，然后输入新的数据库文件：

.xDatabase from .\..\test --> test

并按"test database"按钮，会显示如下包含系统路径的错误信息：

<quote>
Database Read Database cannot be read Verify that the database is at the
physical location in the open message Microsoft Message
Open Messages
Could not find file 'D:\webs\ausiphotos.com\www\data.mdb'.
Database Write Database cannot be written Verify that the database is in a
folder that has both read and write access Microsoft Message
Open Messages
Could not find file 'D:\webs\ausiphotos.com\www\data.mdb'.
Database Permissions Database Permissions are not correct Read the FAQ on
our web site regarding permission for the anonymous user IUSR
</quote>



建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 删除'shopdbtest.asp'脚本文件。

厂商补丁：

Virtual Programming
-------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.vpasp.com/



浏览次数：3908
严重程度：0（网友投票）