关键漏洞信息 漏洞概述 公告编号: ECHO_ADV_12$2005 漏洞标题: sphpblog中的漏洞 作者: y3dips 日期: 2005年4月13日 位置: 印度尼西亚,雅加达 受影响软件: Simple PHP Blog (sphpblog) 版本0.4.0 漏洞详情 A. 路径暴露 (Full Path Disclosures) 描述: sphpblog在处理错误时会暴露出服务器上的完整路径。 示例: 访问 文件时,如果 不存在,系统会显示警告信息,暴露出服务器路径。 后果: 可能帮助攻击者了解网站的目录结构。 B. 跨站脚本攻击 (XSS) 描述: 在 文件中存在XSS漏洞,攻击者可以通过 specially crafted URLs 实现XSS攻击。 检测方法: 通过构造特定的URL,如 和 触发漏洞。 C. 重要信息泄露 (Critical Information Disclosures) 描述: 能直接访问配置文件和密码文件,公开网站和用户的重要信息。 文件: 和 。 影响: 攻击者可能获取关键信息,如密码等。 脚本 功能: 一个远程提取 sphpblog 密码和配置文件的Perl脚本。 使用方法: 需要提供目标URL作为参数。示例: 。