水無月ばけらのえび日記

Apache モジュールを通さないで見えてしまう系

某サイトで、ちょっと URL を間違えたところ、サーバ側のスクリプトのソースと思われるものが見えてしまいました。想像するに、特定の URL が独自の Apache モジュールによってサーバ側で処理されることになっていて、しかしながらその対象となる URL の正規化がうまくできていないため、微妙に URL を間違えるとモジュールで処理されないまま出力されてしまうのではないかと。

※あるいはディレクトリトラバーサルも可能なのではないかと思いましたが、出来てしまったら怖いので試していません。

そういえば昔 .jsp を .js%70 と書くと見えるとか、.cgi を .cgi/ とすると見えるとかいう話がありましたが、それと同じような話だと思います。個人が開発しているような Apache モジュールって結構あると思いますが、中には結構まずいものもあるのかもしれません。

• 「Apache モジュールを通さないで見えてしまう系」へのコメント (1件)

関連する話題: セキュリティ