CGI 泛型未讀參數發現
medium Nessus Plugin ID 44134
語系:
概要
遠端 Web 伺服器託管的 CGI 應用程式可能容易發生資訊洩漏或權限提升情形。說明
透過傳送含其他參數的要求 (例如「admin」、「debug」或「test」) 至遠端 Web 伺服器上主控的 CGI 指令碼,即使參數本身實際上並不出現在回應中,Nessus 也能夠產生至少一個明顯不同的回應。此行為會建議受影響的應用程式使用此類參數 (即使未讀),並可讓攻擊者繞過驗證、讀取機密資料 (例如指令碼的來源)、修改應用程式的行為或發動類似攻擊來取得權限。
請注意,此指令碼為實驗性質,且可容易受到誤報影響。
解決方案
如有必要,請檢查報告的 CGI,對其進行修改,使安全性不至於過於艱澀難懂。另請參閱
http://projects.webappsec.org/w/page/13246953/Predictable%20Resource%20Location
Plugin 詳細資訊
嚴重性: Medium
ID: 44134
檔案名稱: torture_cgi_unseen_parameters.nasl
版本: 1.34
類型: remote
系列: CGI abuses
已發布: 2010/1/25
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: Medium
基本分數: 6.8
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
必要的 KB 項目: Settings/enable_web_app_tests