DoS для Htsearch CGI

Htsearch CGI запускается как CGI и как программа командной строки. Программа командной строки принимает аргумент -c [filename], чтобы считывать конфигурацию из дополнительного файла. С другой стороны, никаких дополнительных фильтров не сделано, чтобы запретить CGI программе считывать аргументы командной строки, так что удаленный пользователь может вынуждать останавливаться CGI пока не произойдет time out(заканчивающийся DoSом) или читать произвольные файлы конфигурации.

Пример:

http://your.host/cgi-bin/htsearch?-c/dev/zero
http://your.host/cgi-bin/htsearch?-c/path/to/my.file

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.
Похожие материалы