当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2010-0405

漏洞标题:盛大招聘存有Information Leakage

相关厂商:盛大网络

漏洞作者: 路人甲

提交时间:2010-09-03 12:50

修复时间:2010-10-03 15:00

公开时间:2010-10-03 15:00

漏洞类型:敏感信息泄露

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2010-09-03: 细节已通知厂商并且等待厂商处理中
2010-09-06: 厂商已经确认,细节仅向厂商公开
2010-09-16: 细节向核心白帽子及相关领域专家公开
2010-09-26: 细节向普通白帽子公开
2010-10-06: 细节向实习白帽子公开
2010-10-03: 细节向公众公开

简要描述:

未关闭错误讯息

详细说明:

漏洞证明:

http://hr.snda.com/JobList.aspx?k=%22%3E%3Caaaa%3E&f=&d=&l=&e=&y=&p=
堆栈跟踪:
[HttpRequestValidationException (0x80004005): 从客户端(k=""><aaaa>")中检测到有潜在危险的 Request.QueryString 值。]
System.Web.HttpRequest.ValidateString(String s, String valueName, String collectionName) +8718538
System.Web.HttpRequest.ValidateNameValueCollection(NameValueCollection nvc, String collectionName) +111
System.Web.HttpRequest.get_QueryString() +129
System.Web.UI.Page.GetCollectionBasedOnMethod(Boolean dontReturnNull) +65
System.Web.UI.Page.DeterminePostBackMode() +63
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +6785
System.Web.UI.Page.ProcessRequest(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +242
System.Web.UI.Page.ProcessRequest() +80
System.Web.UI.Page.ProcessRequestWithNoAssert(HttpContext context) +21
System.Web.UI.Page.ProcessRequest(HttpContext context) +49
ASP.joblist_aspx.ProcessRequest(HttpContext context) in c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\root\c8456d17\85fff8c\App_Web_-bzr35oo.8.cs:0
System.Web.CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +181
System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) +75

修复方案:

1、在web.config 文件中,设置“<compilation debug=”false”/>”
2、在 ASP.NET所在的系统的Machine.config 启动“<compilation debug=”false”/>”,设置代码如下:
<system.web>
<deployment retail=”true”/>
</system.web>
这个在machine.config设置关闭网页追踪和详细的远程错误消息,关于这个设置的详细内容参见:
http://msdn.microsoft.com/zh-cn/library/ms228298(VS.80).aspx
machine.config 文件通常位于:
%SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG.

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2010-09-06 10:09

厂商回复:

多谢提交漏洞信息,已提交相关部门处理。

最新状态:

暂无