CGI 通用隐藏参数发现

medium Nessus 插件 ID 44134

简介

远程 Web 服务器上托管的 CGI 应用程序可能容易发生信息泄露或权限升级。

描述

通过发送含其他参数(例如“admin”、“debug”或“test”)的请求至远程 Web 服务器上托管的 CGI 脚本,即使参数本身实际上并不出现在响应中,Nessus 也能够生成至少一个明显不同的响应。此行为会建议受影响的应用程序使用此类参数(即使隐藏),并可让攻击者绕过验证、读取机密数据(例如脚本的来源)、修改应用程序的行为或发动类似攻击来获得权限。请注意,此脚本为实验性,且可能容易受到误报影响。

解决方案

如有必要,请检查报告的 CGI,对其进行修改,使安全不至于过于模糊不清。

另见

http://projects.webappsec.org/w/page/13246953/Predictable%20Resource%20Location

插件详情

严重性: Medium

ID: 44134

文件名: torture_cgi_unseen_parameters.nasl

版本: 1.35

类型: remote

系列: CGI abuses

发布时间: 2010/1/25

最近更新时间: 2024/6/14

支持的传感器: Nessus

漏洞信息

必需的 KB 项: Settings/enable_web_app_tests

参考资料信息

CWE: 715, 723, 813