Я пытаюсь воспроизвести CVE-2018-7212, уязвимость обхода пути Sinatra, для демонстрации класса. Я установил Sinatra v2.0.0rc2, создал очень простой веб-сайт Sinatra, и он работает локально.

Я пытаюсь выполнить этот обход пути, чтобы получить другой файл с моего компьютера, скажем, файл изображения, который находится в двух каталогах над моим веб-сайтом. Я не могу понять это, если кто-нибудь знает, как это сделать, и мог бы объяснить, что это было бы здорово!

CVE-2018-7212

Sinatra Patch Code

Еще один список CVE

Пример, приведенный в третьей ссылке, не имеет для меня никакого смысла, так как CVE и его патч говорят о том, что экранирование обратной косой черты можно было использовать, что имело бы смысл для хоста Windows, а не для прямой косой черты и точек. Кроме того, этот CVE относился только к хостам Windows, и пример пути дал нам путь UNIX. И это не работает, в любом случае.

0