viewsrc.cgi存在目录遍历漏洞发布时间:2001-05-25 更新时间:2001-05-25 严重程度:高 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 viewsrc.cgi v2.0详细描述 viewsrc.cgi v2.0源代码查看CGI脚本,可以在下面的地址下载: http://www.mimanet.com/scripts,其中存在一个漏洞可以导致 远程用户查看服务器上任意文件。 测试代码 http://localhost/cgi-bin/viewsrc.cgi? loc=../[任意文件] 解决方案 补丁如下: 53a54,56 > $FORM{'loc'} =~ s/\.\.//g; > $FORM{'loc'} =~ s/\\//g; > $FORM{'loc'} =~ s/\///g; 65c68 < open (INHTML, "$predo") or die &err_loc; --- > open (INHTML, "<$predo") or die &err_loc; 这个补丁去掉了'..','/'等字符。而且对open()函数是安全的。 相关信息 e-mail: joetesta@hushmail.com web page: http://hogs.rit.edu/~joet |
