发布日期：2003-08-30
更新日期：2003-09-04

受影响系统：

File Sharing for Net File Sharing for Net 1.5

描述：

---

BUGTRAQ  ID: 8513

File Sharing for Net是一款安全的WEB服务程序，可以对商务文档和文件进行共享。

File Sharing for Net不正确处理用户提交的特殊URI请求，远程攻击者可以利用这个漏洞以WEB权限查看系统任意文件内容。

tR1cky发现File Sharing for Net存在目录遍历漏洞，通过提交包含多个"/../"字符的URL，可以绕过WEB ROOT目录限制，以WEB进程权限查看系统任意文件内容。

<*来源：sickle （sickle@gmx.net）
  
  链接：http://www.securitytracker.com/alerts/2003/Aug/1007588.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

sickle （sickle@gmx.net）提供了如下测试方法：

http://victim_url/../../../autoexec.bat

建议：

---

厂商补丁：

File Sharing for Net
--------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.minihttpserver.net/fbbs/index.php

浏览次数：2923
严重程度：0（网友投票）