Geeklog利用永久Cookie劫持账号漏洞

Geeklog利用永久Cookie劫持账号漏洞

漏洞ID 1204848 漏洞类型 设计错误
发布时间 2002-01-10 更新时间 2005-05-02
图片[1]-Geeklog利用永久Cookie劫持账号漏洞-安全小百科CVE编号 CVE-2002-0097
图片[2]-Geeklog利用永久Cookie劫持账号漏洞-安全小百科CNNVD-ID CNNVD-200203-062
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200203-062
|漏洞详情
Geeklog是一个免费的、开放源码的Web应用程序。它可以使用户创建一个虚拟的社区,可以管理用户,张贴文章等。Geeklog采用PHP实现,以MySQL为后台数据库,可以在所有支持PHP和MySQL的平台如UNIX、Linux和Windows下使用。Geeklog在处理Cookie上存在漏洞,可以使攻击者在不知道口令的情况下以任何有效用户ID登录系统。Geeklog可以被配置成使用永久性的Cookie,在以后的登录过程中将会使用Cookie里的信息进行认证。Cookie中包含一个UID字段,geeklog用这个字段来确定对谁进行认证。如果把Cookie中的这个UID字段值改为其他用户的值就能以那个用户的ID登录。利用这个漏洞,攻击者可以得到服务的管理员的权限。
|参考资料

来源:XF
名称:geeklog-modify-auth-cookie(7869)
链接:http://www.iss.net/security_center/static/7869.php
来源:BUGTRAQ
名称:20020110CookiemodificationallowsunauthenticateduserlogininGeeklog1.3
链接:http://online.securityfocus.com/archive/1/249443
来源:geeklog.sourceforge.net
链接:http://geeklog.sourceforge.net/index.php?topic=Security
来源:BID
名称:3844
链接:http://www.securityfocus.com/bid/3844

相关推荐: GNU Enscript Insecure Temporary File Creation Vulnerability

GNU Enscript Insecure Temporary File Creation Vulnerability 漏洞ID 1102551 漏洞类型 Design Error 发布时间 2002-01-21 更新时间 2002-01-21 CVE编号 N…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享