安全研究
安全漏洞
PhpMyExplorer 目录遍历漏洞
发布日期:2001-08-30
更新日期:2001-09-07
受影响系统:
PhpMyExplorer 1.2.1以前版本
不受影响系统:
PhpMyExplorer 1.2.1
描述:
PhpMyExplorer是一个流行的基于PHP的文件管理器。PhpMyExplorer 1.2.1以前版本存在一个
目录遍历的安全漏洞。
如果服务器没有设置正确的权限,攻击者可以浏览系统目录和文件,甚至某些敏感文件,
例如/etc/passwd等等。
<*来源:Ben Ford (
ford@erisksecurity.com)*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
例如,提交下列请求:
http://victim/index.php?chemin=..%2F..%2F..%2F..%2F..%2F..%2F%2Fetc
就可以获取/etc目录的文件列表。
建议:
厂商补丁:
厂商已经发布了PhpMyExplorer 1.2.1,该版本不存在这个安全问题:
http://elegac.free.fr/浏览次数:5090
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |