水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2005年のえび日記 > 2005年6月 > 2005年6月14日(火曜日)

2005年6月14日(火曜日)

Apache モジュールを通さないで見えてしまう系

某サイトで、ちょっと URL を間違えたところ、サーバ側のスクリプトのソースと思われるものが見えてしまいました。想像するに、特定の URL が独自の Apache モジュールによってサーバ側で処理されることになっていて、しかしながらその対象となる URL の正規化がうまくできていないため、微妙に URL を間違えるとモジュールで処理されないまま出力されてしまうのではないかと。

※あるいはディレクトリトラバーサルも可能なのではないかと思いましたが、出来てしまったら怖いので試していません。

そういえば昔 .jsp を .js%70 と書くと見えるとか、.cgi を .cgi/ とすると見えるとかいう話がありましたが、それと同じような話だと思います。個人が開発しているような Apache モジュールって結構あると思いますが、中には結構まずいものもあるのかもしれません。

関連する話題: セキュリティ

最近の日記

関わった本など