Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Файл, размещенный в подкаталогах с именем _vti_bin, может быть выполненным. Очень удобно для запуска cgi-
Скриптов на серверах, не дающих такой возможности.
Вообще, стандартные имена конфигурационных файлов предоставляют широкие возможности но поиску
Серверов с установленными FPE -достаточно послать запрос на поиск, к примеру, _vti_inf.html.
Ошибки администрирования
Любая система может оказаться совершенно незащищенной из-за незначительной на первый взгляд ошибки в
Администрировании.
Так, Apache включает директиву UserDir, определяющую подкаталог в пользовательском каталоге, из
которого берутся html-файлы при обращении вида /-user. Установив директиву в /usr/*/public_html, мы получим
трансляцию адреса вида http://www.victim.com/~user/dir/file.html в путь /usr/user/public_html/dir/file.html. По
Умолчанию этой директиве присвоено значение public_html. Некоторые серверы, не найдя соответствующий
Каталог, переадресуют нас в домашний каталог пользователя user. Далее мы можем пробовать обращения типа
http://www.victim.com/~root/etc/ passwd. http://www.victim.com/~uucp/etc/passwd и т. д. Аналогичный эффект
получится, если установить UserDir в <./>. Поэтому в версиях Apache 1.3 и выше рекомендуется использовать
Дата публикования: 2014-11-04; Прочитано: 298 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!