发布日期：2000-08-01
更新日期：2000-08-01

受影响系统：

Feartech ftp.pl

描述：

---

Feartech的ftp.pl是一个允许以html形式查看服务器上目录列表的CGI脚本，可以十分方便地管理FTP文件。

ftp.pl脚本存在输入验证漏洞，远程攻击者可能利用此漏洞察看任意文件和目录。

由于ftp.pl没有对用户输入进行正确的过滤检查，远程攻击者可能在输入中夹带“../”字串，使任何人能通过浏览器以httpd进程的权限查看系统的任意目录和文件，例如：
http://www.server.com/cgi-bin/ftp/ftp.pl?dir=../../../../../../etc


<**>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.server.com/cgi-bin/ftp/ftp.pl?dir=../../../../../../etc

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时停止使用该程序。

厂商补丁：

Feartech
--------
作者已经不再维护此脚本，请换用其他有类似功能的软件。

浏览次数：6608
严重程度：0（网友投票）