Black Tie Project路径泄露漏洞发布时间:2002-03-16 更新时间:2002-03-16 严重程度:低 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:4275 受影响系统 Black Tie Project Black Tie Project 0.5b详细描述 Black Tie Porject (BTP)是一款法语的系统构建程序。 其中提交系统不存在的页面给Black Tie Porject (BTP)程序,会导致程序返回包含wwwroot物理路径的错误信息页面。 测试代码 请求如下URL: http://BTP_site/categorie.php3?cid=blahblah 可以导致如下信息泄露: "Warning: Unable to jump to row 0 on MySQL result index 2 in /home/software/a/htdocs/site/examplesite.com/cate gorie.php3 on line 11" 解决方案 categorie.php3文件中增加判断语句: if ($requested_cat_number == "") { die ("Categorie number not found!"); } else { // the original script functions } 相关信息 Ahmet Sabri ALPER <s_alper@hotmail.com>. 参考:http://online.securityfocus.com/archive/1/261681 相关主页:http://trans.voila.fr/ano?anolg=65544&anourl=http%3A%2F%2Fbtp.logiciel-fr.com%2Findex.php3# |
