Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Классический и, наверное, известный всем, но до сих пор встречающийся образец - скрипт phf. Это вовсе не
специально оставленный <черный вход>, как можно подумать, глядя на результаты его использования, а всего
Лишь пример скрипта ведения телефонной книги, распространявшийся со старыми версиями Apache и
Некоторыми другими серверами. Для желающих проверить на прочность современные серверы - в
Конфигурационных файлах, приходящих с последними версиями Apache, достаточно раскомментировать четыре
строчки, чтобы все попытки обращения к phf перенаправлялись на сервер http://phf.apache.org/phf_abuse_log.cgi.
Впрочем, многие администраторы слишком ленивы, чтобы выполнить это.
Проблема в следующем: встретив в командной строке символ перевода строки (ОхОа), он ведет себя иначе:
строка http://www.victim.com/cgi-bin/ phf?шoOacp%20/etc/passwdшo20%7Esomeuser/passwd%OA&Oalias=
&0name^haqr&0email^&0mckname=&0office_phone^ приведет к выполнению на сервере команды ср /etc/passwd
"someuser/passwd, a http:// www.victim.com/cgi-bin/phf?Oalias=шoOA/bin/cat%20/etc/passwd - к выполнению
команды /bin/cat /etc/passwd.
Аналогичная проблема с ОхОа существует у скрипта campus.cgi, распространяемого с NCSA server, а также у
Дата публикования: 2014-11-04; Прочитано: 287 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!