安全研究
安全漏洞
Anaconda Clipper 目录遍历漏洞
发布日期:2001-03-28
更新日期:2001-03-28
受影响系统:
Anaconda Clipper ver. 3.3
描述:
Anaconda(
http://www.anaconda.net)开发的Anaconda Clipper ver. 3.3
没有正确的过滤用户输入数据中的"../"字符,因此攻击者可以利用此漏洞获取任意httpd
运行用户可读的文件,例如/etc/passwd.
<*来源:UkR-XblP / UkR security team
http://www.ukrteam.ru
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://blah.somenonexistanthost.com/cgi-bin/anacondaclip.pl?template=../../../../../../../../../../../../../../../../../../etc/passwd
建议:
临时解决方法:
NSFOCUS建议您使用类似如下语句来过滤"../":
$input =~ s/[(\.\.)|\/]//g;
厂商补丁:
暂无
浏览次数:3615
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
