home *** CD-ROM | disk | FTP | other *** search
/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Hacking & Misc / bundle of exploits.sit / bundle of exploits / view_source.txt < prev    next >
Text File  |  1998-07-17  |  703b  |  20 lines
  1.  
  2. I've just found a pretty ugly hole in view-source cgi-shell script.
  3.  
  4.    This script, which can be found  on some httpd distributions and
  5.    in SCO Skunkware cdroms, is designed to display a given document
  6.    located in $DOCUMENT_ROOT/$1 (where $DOCUMENT_ROOT is an
  7.    environment variable set by the server).
  8.  
  9. Unhopefully view-source does not properly check the arguments.
  10.  
  11.    It is therefore possible to display any file on systems where
  12.    view-source is world executable by sending something like
  13.  
  14. 'http://www.server.com/cgi-bin/view-source?../../../../../../../etc/passwd'
  15.  
  16.  
  17.  
  18.   Obviously this kind of so-called cgi has nothing to do in
  19.   your cgi-bin directory... Maybe a day cgi will be secure ;)
  20.