水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > アーカイバのディレクトリトラバーサル

アーカイバのディレクトリトラバーサル

2004年7月30日(金曜日)

アーカイバのディレクトリトラバーサル

セキュリティホールmemo で「未対策・未発表な多数の国内産脆弱 (www.st.ryukoku.ac.jp)」という話が紹介されていますね。XSS はまあ特にどうということはない (!) のですが、アーカイバのディレクトリトラバーサルの話は興味深いです。

そもそも「自己解凍書庫がそのまんまインストーラ」というソフトがあったりしますので、書庫側で任意のパスを指定できる機能は必要なのだろうと思います。ただ、それが警告なしでできてしまうのは問題があるでしょう。「指定外のディレクトリにファイルを展開しようとしています」という警告が出たりするのがベターかな、と思います。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト