Search.pl - CGI (Common Gateway Interface) программа, используемая для обеспечения конечного пользователя поисковым движком к базе данных ROADS. Уязвимость в программе позволяет атакующему просмотреть любой локальный файл.

Добавляя специальный символ NULL (%00) к URL поисковому запросу , возможно "заставить" search.pl CGI вернуть в ответ на запрос содержимое файла, который был запрошен.

Exploit:
http://www.example.com/ROADS/cgi-bin/search.pl?form=url_to_any_file%00

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии