CGI 通用隐藏参数发现
medium Nessus 插件 ID 44134
语言:
简介
远程 Web 服务器上托管的 CGI 应用程序可能容易发生信息泄露或权限升级。描述
通过发送含其他参数(例如“admin”、“debug”或“test”)的请求至远程 Web 服务器上托管的 CGI 脚本,即使参数本身实际上并不出现在响应中,Nessus 也能够生成至少一个明显不同的响应。此行为会建议受影响的应用程序使用此类参数(即使隐藏),并可让攻击者绕过验证、读取机密数据(例如脚本的来源)、修改应用程序的行为或发动类似攻击来获得权限。请注意,此脚本为实验性,且可能容易受到误报影响。解决方案
如有必要,请检查报告的 CGI,对其进行修改,使安全不至于过于模糊不清。另见
http://projects.webappsec.org/w/page/13246953/Predictable%20Resource%20Location
插件详情
严重性: Medium
ID: 44134
文件名: torture_cgi_unseen_parameters.nasl
版本: 1.34
类型: remote
系列: CGI abuses
发布时间: 2010/1/25
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
CVSS v2
风险因素: Medium
基本分数: 6.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
必需的 KB 项: Settings/enable_web_app_tests