PATH_INFO に /%2e%2e/ が渡せない
2004年3月17日(水曜日)
PATH_INFO に /%2e%2e/ が渡せない
スターダストさんの所 (d.hatena.ne.jp)の「Multiple Vendor HTTP User Agent Cookie Path Traversal Issue (d.hatena.ne.jp)」という話に関連していろいろ調べたのですが、どうも PATH_INFO に /%2e%2e/ って渡せないみたいですね。
適当な CGI プログラムを作って、
http://example.com/cgi-bin/test.cgi/test/%2e%2e/
などという URL でアクセスすると、PATH_INFO には / しか格納されていない模様。Apache の CGI だけでなく、IIS の ASP.NET でも同じような挙動になりました。hatomaru.aspx に /ebi/%2e%2e/yomoyama なんてのを渡すと、Request.Url の中では /yomoyama だけになっていて、よもやま話が表示されるという……。
ちなみにこのようなモノを渡すと……
http://example.com/cgi-bin/test.cgi/%2etest%2e/
PATH_INFO には "/.test./" ではなく "/.test/" が渡ります。
これはこういう動作で良いものなのかしら……。
- 「PATH_INFO に /%2e%2e/ が渡せない」にコメントを書く
- 前(古い): これは『宿命』なのか?
- 次(新しい): ニフティの個人情報保護ポリシー
