Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
аналогичное Microsoft ASP): miog.htnil и mylog.html включают строчку <?include "$screen">.
Поскольку здесь отсутствует какая бы то ни было фильтрация, никто не мешает передать этому скрипту
полный путь до любого файла: http:// www.victim.com/logs/mlog.html?screen=/etc/passwd.
Огромное количество ошибок связано с расширениями FrontPage (FPE). FrontPage - это не только
WYSIWYG-редактор htinl-кода, относиться к которому можно по-разному, но и мощное средство
Администрирования Wcb-сайта. Чтобы воспользоваться всеми возможностями FrontPage, на сервер должны
Быть установлены дополнительные средства, так называемые расширения FrontPage, которые разработаны для
Различных платформ и серверов. Тут-то нас и подстерегают некоторые неожиданности.
Начнем с того, что при установке FrontPage 1.1 пользователь IUSR_hostnaine получал право доступа Full
Control к каталогу _vti_bin и файлу shtml.exe, а взломщик, подобрав пароль этого пользователя, получал доступ
К каталогу с исполняемыми файлами.
Чуть позже выяснилось, что пароли для сайта можно спокойно взять из (файлов
http://www.victim.coin/_vti_pvt/administrators.pwd. http:// www.victim.con1/_vti_pvt/authors.pwd и
http://www.victiin.com/_vti_pvt/ servicc.pwd (по умолчанию доступ к этим файлам открыт для всех желающих).
Дата публикования: 2014-11-04; Прочитано: 314 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!