monqy blog
このブログを検索
2014/02/22
ディレクトリ・トラバーサル
ディレクトリ・トラバーサル という不正アクセスを受けた。
特に深刻な被害はないようだが、脆弱性があることがわかった。
一応対策した。
あまり詳しいことは書きたくないが、cgiでパラメータを受け取ってそれをファイルとして開いているのだが、
そのパラメータに "../../../../" を含んだファイル名を指定してその内容を表示させようとするのだ。
ミソは "../"である。ディレクトリをさかのぼって表示させるのだ。
こんなことができてしまうとは。
次の投稿
前の投稿
ホーム