Htsearch CGI запускается как CGI и как программа командной строки. Программа командной строки принимает аргумент -c [filename], чтобы считывать конфигурацию из дополнительного файла. С другой стороны, никаких дополнительных фильтров не сделано, чтобы запретить CGI программе считывать аргументы командной строки, так что удаленный пользователь может вынуждать останавливаться CGI пока не произойдет time out(заканчивающийся DoSом) или читать произвольные файлы конфигурации. 

Пример:

http://your.host/cgi-bin/htsearch?-c/dev/zero
http://your.host/cgi-bin/htsearch?-c/path/to/my.file



Оставить мнение