VULHUB ™

Cisco自适应安全设备(ASA)是可提供安全和VPN服务的模块化平台 。 当用户使用Web VPN访问FTP或CIFS目标时，所生成的URL中目标资源类型(scheme)和主机名首先经过Rot13编码，然后16进制编码后放在ASA的URL中。以下URL试图连接到ftp.example.com： /+CSCOE+/files/browse.html?code=init&;path=ftp%3A%2F%2F7367632e726b6e7a6379722e70627a ASA首先试图使用匿名凭据连接到FTP服务器或CIFS共享，如果失败会提示用户提供登录凭据。在查看的时候提交表单不会提示其用途，外观也非常类似于Web VPN的主登录页面。如果攻击者向用户发送了URL，用户很可能认为需要向Web VPN重新提交凭据，然后ASA会将凭据转发给攻击者的FTP或CIFS服务器。

Cisco自适应安全设备(ASA)是可提供安全和VPN服务的模块化平台 。 当用户使用Web VPN访问FTP或CIFS目标时，所生成的URL中目标资源类型(scheme)和主机名首先经过Rot13编码，然后16进制编码后放在ASA的URL中。以下URL试图连接到ftp.example.com： /+CSCOE+/files/browse.html?code=init&;path=ftp%3A%2F%2F7367632e726b6e7a6379722e70627a ASA首先试图使用匿名凭据连接到FTP服务器或CIFS共享，如果失败会提示用户提供登录凭据。在查看的时候提交表单不会提示其用途，外观也非常类似于Web VPN的主登录页面。如果攻击者向用户发送了URL，用户很可能认为需要向Web VPN重新提交凭据，然后ASA会将凭据转发给攻击者的FTP或CIFS服务器。