ຜົນກະທົບ
ຕົວໂຈມຕີທາງໄກ, ບໍ່ໄດ້ຮັບການຢືນຢັນສາມາດຊອກຫາໄດເລກະທໍລີພາຍໃນຮາກເວັບຂອງການຕິດຕັ້ງ ZoneMinder [S1]. ການເປີດເຜີຍນີ້ອະນຸຍາດໃຫ້ເປີດເຜີຍຂໍ້ມູນລະບົບທີ່ລະອຽດອ່ອນແລະສາມາດນໍາໄປສູ່ການຜ່ານການກວດສອບຄວາມຖືກຕ້ອງຢ່າງສົມບູນ, ໃຫ້ການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດໃນການໂຕ້ຕອບການຈັດການຂອງແອັບພລິເຄຊັນ [S1].
ສາເຫດ
ຊ່ອງໂຫວ່ແມ່ນເກີດມາຈາກການປັບຄ່າ Apache HTTP Server ທີ່ມີຂໍ້ບົກພ່ອງທີ່ມັດໄວ້ກັບ ZoneMinder ເວີຊັນ 1.29 ແລະ 1.30 [S1]. ການຕັ້ງຄ່າລົ້ມເຫລວໃນການຈໍາກັດການດັດສະນີໄດເລກະທໍລີ, ເຊິ່ງສົ່ງຜົນໃຫ້ເຄື່ອງແມ່ຂ່າຍເວັບໃຫ້ບໍລິການລາຍຊື່ໄດເລກະທໍລີໃຫ້ກັບຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບການຢືນຢັນ [S1].
ການແກ້ໄຂ
ເພື່ອແກ້ໄຂບັນຫານີ້, ຜູ້ເບິ່ງແຍງລະບົບຄວນປັບປຸງ ZoneMinder ເປັນເວີຊັນທີ່ປະກອບມີການຕັ້ງຄ່າເຊີບເວີເວັບທີ່ຖືກແກ້ໄຂ [S1]. ຖ້າການອັບເກຣດທັນທີບໍ່ເປັນໄປໄດ້, ໄຟລ໌ການຕັ້ງຄ່າ Apache ທີ່ກ່ຽວຂ້ອງກັບການຕິດຕັ້ງ ZoneMinder ຄວນໄດ້ຮັບການແຂງດ້ວຍຕົນເອງເພື່ອປິດການໃຊ້ງານດັດສະນີໄດເລກະທໍລີ ແລະບັງຄັບໃຊ້ການຄວບຄຸມການເຂົ້າເຖິງຢ່າງເຂັ້ມງວດໃນຮາກເວັບ [S1].
ການຄົ້ນຄວ້າການຊອກຄົ້ນຫາ
ການຄົ້ນຄວ້າກ່ຽວກັບຊ່ອງໂຫວ່ນີ້ຊີ້ໃຫ້ເຫັນວ່າການຊອກຄົ້ນຫາກ່ຽວຂ້ອງກັບການກໍານົດຕົວຢ່າງ ZoneMinder ແລະການພະຍາຍາມເຂົ້າເຖິງຮາກເວັບຫຼື subdirectories ທີ່ຮູ້ຈັກໂດຍບໍ່ມີການພິສູດຢືນຢັນ [S1]. ສະຖານະການທີ່ມີຄວາມສ່ຽງແມ່ນສະແດງໂດຍປົກກະຕິໂດຍການມີຮູບແບບລາຍຊື່ໄດເລກະທໍລີມາດຕະຖານເຊັ່ນ "Index of /" string, ໃນຕົວການຕອບສະຫນອງ HTTP ເມື່ອບໍ່ມີກອງປະຊຸມທີ່ຖືກຕ້ອງ [S1].