ntop-ng 2.5.160805 Username Enumeration

Exploit title: ntopng user enumeration Author: Dolev Farhi Contact: dolevf at protonmail.com Date: 04-08-2016 Vendor homepage: ntop.org Software version: v.2.5.160805 !/usr/env/python import os import sys import urllib import urllib2 import cookielib server = 'ip.add.re.ss' username = 'ntopng-use...

ntop认证头空指针引用拒绝服务漏洞

CVECAN ID: CVE-2009-2732 ntop是一个用来监视和分析unix系统网络使用状况的工具。 ntop在解析Basic认证的HTTP头时存在空指针应用漏洞。在接收到认证报文后ntop会base64解码值，然后基于冒号进行拆分。如果解码的字符串中不存在冒号，就会对用户名使用默认的NULL值。由于在认证过程中使用strlen计算用户名的长度，在处理到空的值时会触发分段错误。以下是有漏洞的代码段： static int checkHTTPpasswordchar theRequestedURL, int theRequestedURLLen UNUSED, char theP...