Lỗi trong PJreview_Neo.cgi

Mô tả: Zone-h Security Team vừa báo cáo một lỗi input trong đoạn mã 'PJreview_Neo.cgi'. Người sử dụng từ xa có thể xem được các file trên hệ thống đích.

Theo như họ nói thì đoạn mã trên không hoàn toàn kiểm tra việc cung cấp giá trị cho biến p. Một người sử dụng từ xa có thể cung cấp một request đặc biệt (có chứa ../ - kí hiệu thư mục cha) để xem nội dung của một file bất kì trên hệ thống đích với quyền truy cập của một web service.

Một URL ví dụ như sau:

http://address/directory/PJreview_Neo.cgi?p=/../../../../../../../../../../../../../../../../etc/passwd

Ảnh hường: Một người sử dụng từ xa (remote user) có thể xem một file bất kì với quyền truy cập của dịch vụ web.

Giải pháp: Cho đến thời điểm này (sáng 31/01/2004) thì chưa có giải pháp nào. Báo cáo cũng nói rằng website của nhà cung cấp không hoạt động nữa.

Và sau khi "thực tập"em đã kiếm được vài website bị lỗi như sau:
http://www.gachon.net/cgi-bin/NeoBoard/PJreview_Neo.cgi
http://www.mydokdo.com/PJreview_Neo.cgi
http://pharmtek.co.kr/PJreview_Neo.cgi