home *** CD-ROM | disk | FTP | other *** search
/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / Hacking / Windos NT CGI security Hole.sit / Windos NT CGI security Hole next >
Text File  |  1997-01-21  |  2KB  |  62 lines
  1.  
  2.  
  3.                            http - CGI Configuration
  4.  
  5.  
  6.  
  7. Service
  8.  
  9. http 
  10.  
  11. Problem
  12.  
  13. Making a copy of a general purpose programming language available in a CGI directory is a serious
  14. mistake. 
  15.  
  16. Impact
  17.  
  18. Internet users can have arbitrary commands executed on the machine by the owner of the http
  19. daemon. 
  20.  
  21. Timeliness
  22.  
  23. Widely known. 
  24.  
  25. Recommendation
  26.  
  27. Take care with respect to what programs you make available in the CGI director(ies) of your
  28. server, and, in particular, do not make powerful general purpose programming languages available
  29. to arbitrary remote users. 
  30.  
  31. Description
  32.  
  33. The necessity of careful scrutiny of the contents of a servers cgi directory is very well known.
  34. However, it still seems to be a common error. In particular, it seems relatively common for NT
  35. sites to have a copy of perl in their cgi-bin directory. This allows people to pass their own perl
  36. programs as urls to the server to be executed; 
  37.  
  38. http://your.machine/cgi-bin/perl?-e+print%20q@Content%2dType%3a%20text%2fplain%0a%0aHello,%20World!%0a@
  39. http://your.machine/scripts/perl.exe?-e+print%20q@Content%2dType%3a%20text%2fplain%0a%0aHello,%20World!%0a@
  40.  
  41. are two harmless example. 
  42.  
  43. 20th February 1996 - Lincoln Stein has recently pointed out that because the Netscape NT server
  44. does not use the NT File Manager's associations between file extensions and applications, even
  45. though files with the .pl (or other) extension are associated with the perl interpreter, they are not
  46. recognised as such when in the cgi-bin directory. This, combined with the DOS CGI problem makes
  47. CGI programming difficult with the current version of the NT Netscape servers. His suggestion is to
  48. switch to a NT server that uses the File Manager extension associations. 
  49.  
  50. Orignial Description 4th January 1996
  51. Update 20th February 1996
  52. Last Modified 21 July 1996 
  53.  
  54.  
  55.  
  56.                     Netcraft | SSL Server Survey | Web Server Survey | Client List 
  57.  
  58.                                                                          
  59.  
  60.                                        Copyright © Netcraft 1995-1997 
  61.  
  62.