Dziura w poznańskim i opolskim serwisie SLD

W poznańskim i opolskim serwisie SLD występuje dziura, która pozwala podglądnąć większość plików znajdujących się na serwerze.

Wystarczy wpisać ten oto adres w przeglądarce: http://www.sld.poznan.pl/plik.php?plik=../../../../etc/passwd aby otrzymać dostęp do pliku passwd. Zamiast /etc/passwd możemy wpisać adres do innego interesującego nas pliku. Przykładem może być plik /etc/services bądź plik /etc/hosts.

Również opolski serwis SLD posiada ten sam błąd.

Jednak najciekawszą możliwością jest skorzystanie z „proxy”. W tym przypadku wystarczy wpisać adres strony www. Dla przykładu chcąc uruchomić stronę www.onet.pl wystarczy taki oto adres: http://www.sld.poznan.pl/plik.php?plik=http://www.onet.pl/

Źródło: e-mail