CGI 泛型命令執行 (時間型、入侵性)
high Nessus Plugin ID 51528
語系:
概要
可能可以在遠端 Web 伺服器上執行任意程式碼。說明
遠端 Web 伺服器主控的 CGI 指令碼似乎無法充分清理要求字串。透過利用此問題,攻擊者可能能夠在遠端主機上執行任意命令。請注意:
- 此指令碼使用時間型偵測方法,該方法比基本方法更不可靠。
- 該方法為入侵型,而且如果 Web 應用程式允許命令插入,則可鎖定 Web 伺服器。如果發生此情況,請重新啟動 Web 伺服器。
解決方案
限制存取受影響的應用程式,並聯絡供應商取得修補程式或升級程式。另請參閱
https://en.wikipedia.org/wiki/Code_injection
http://projects.webappsec.org/w/page/13246950/OS%20Commanding