来源:自学PHP网 时间:2015-04-17 10:16 作者: 阅读:次
[导读] Namazu来自日本神话,神话中说日本列岛被一条大鲶围绕着,可以引起地震等,这条大鱼就叫Namazu。日本大学、政府站点中有套常用的程序也叫Namazu,这套程序主要用于搜索网站内容。程...
Namazu来自日本神话,神话中说日本列岛被一条大鲶围绕着,可以引起地震等,这条大鱼就叫Namazu。
日本大学、政府站点中有套常用的程序也叫Namazu,这套程序主要用于搜索网站内容。程序存在权限限制不严、搜索内容过滤不严等问题。
本文作者:小Dの马甲
来自Silic Security
发现问题于:2012年6月
关键字:
inurl:inurl:/namazu/namazu.cgi
这套程序上次爆出漏洞于2008年,是搜索型跨站漏洞。最新版本已经修复该漏洞,但是存在权限设置不严以及敏感信息预览等内容。
例如:
http://www.kyoto-art.ac.jp/cgi-bin/namazu/namazu.cgi?whence=0&query=%27&image.x=6&image.y=147
可以看到搜索结果中:
question_1.tpl
運命の相手はあの天才!? 結婚するなこの芸術家?!診断 <?php //共通 require_once('../includes/init.php'); $title = '結婚するならこの芸術家?!診断(Facebookアプリ)'; $description = '京都造形芸術大学が提供す
http://www.kyoto-art.ac.jp/t-tenohira/marriage/question_1.tpl (3,779 kbytes)
可以利用该程序可以搜索到站内程序、数据库备份目录中的内容,wordpress装有哪些插件,直接预览php源码,读取管理员配置信息等
修复方法:
我是不会告诉小日本限制可以搜索的目录权限的 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com