关键漏洞信息 漏洞名称: Calendar Script 1.1 Insecure Cookie Handling Vulnerability CVE编号: CVE-2008-5738 CWE编号: CWE-287 CVSS Base Score: 7.5/10 风险等级: High 影响评估 远程攻击: Yes 影响子分: 6.4/10 攻击复杂度: Low 保密性影响: Partial 完整性影响: Partial 可用性影响: Partial 利用子分: 10/10 认证需求: No required 详细信息 脚本版本: Calendar Script v1.1 下载地址: http://www.hotscripts.com/jump.php?listing_id=71365&jump_type=1 漏洞类型: Insecure Cookie Handling 作者: Osirys 联系方式: osirys[at]live[dot]it 网站: http://osirys.org 备注: Proud to be Italian 致谢: XaDoS, xOr, emgent, Jay, stroKe, Todd and AlpHaNiX 漏洞描述 存在漏洞的文件: /path/index.php 问题: 当用户正确登录后,创建了一个名称为 'nodstrumCalendarV2',内容为 '1' 的cookie。 修复建议: 修改cookie的名称或内容,例如将内容替换为密码。 利用方法示例: 参考链接 http://www.milw0rm.com/exploits/7513 http://secunia.com/advisories/33214 http://osvdb.org/50827