忍者ブログ
[8] [7] [6] [5] [4] [3] [2] [1]
[PR]
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

【2025/10/31 16:30 】
CATEGORY[]
脆弱性のあるファイルの読み込み
外部からファイル名を指定して、ファイルを読み込むというケースです。拡張子「.txt」のファイルのみ読めるようにしています。どこが危険でしょうか?

PR
【2008/10/30 19:43 】
CATEGORY[脆弱性のあるソースコード] Trackback[] COMMENT[4]

コメント
無題
面白いブログですね
セキュリティに興味あるけどまったく知識ないので役に立ちそうです
$_GET関係?ぜんぜんわからないお^^;
勝手な要望かもしれませんが正解と正しいソースも書いていただけたらうれしいお
【2008/10/31 18:09】 NAME[ぴろ] WEBLINK[] EDIT[]
こんにちは
こんにちは、ぴろさん

$_GET で任意のファイル名を外部から入力しているところも、かなり危ないのですが、この例のポイントは別にあります。

なお、解答解説も後日書きますので、それまで、お待ちください。
【2008/10/31 20:29】 NAME[Kenji] WEBLINK[URL] EDIT[]
無題
pregはバイナリセーフだけど
readfileはバイナリセーフじゃないもんね
【2008/11/02 00:43】 NAME[NONAME] WEBLINK[] EDIT[]
無題
Null Byte Attack 対策面倒だよね
【2008/11/02 20:33】 NAME[NONAME] WEBLINK[URL] EDIT[]


コメントフォーム
お名前
タイトル
文字色
メールアドレス
URL
コメント
パスワード
  Vodafone絵文字 i-mode絵文字 Ezweb絵文字


トラックバック
この記事にトラックバックする:
<<脆弱性のあるメール送信フォーム HOME 脆弱性のあるログインフォーム>>


忍者ブログ [PR]
カレンダー
09 2025/10 11
S M T W T F S
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
カテゴリー
このブログについて ( 3 )
脆弱性のあるソースコード ( 6 )
スクリプトインジェクション ( 4 )
ヘッダインジェクション ( 0 )
パラメータ改竄 ( 0 )
NULLバイト攻撃 ( 0 )
ニュース ( 0 )
雑談 ( 2 )
未選択 ( 0 )
最新コメント
無題
[02/18 ryu]
無題
[11/21 ぴろ]
無題
[11/07 NONAME]
無題
[11/02 NONAME]
無題
[11/02 NONAME]
最新記事
ログインフォームの脆弱性(4)
(11/21)
このブログの目的
(11/13)
ログインフォームの脆弱性(3)
(11/13)
コメントのタイトル
(11/09)
脆弱性のあるコマンド実行
(11/06)
最新トラックバック
プロフィール
HN:
Kenji
性別:
非公開
RSS
RSS 0.91
RSS 1.0
RSS 2.0
ブログ内検索
アーカイブ
2008 年 11 月 ( 10 )
2008 年 10 月 ( 5 )
リンク
管理画面
新しい記事を書く