アーカイバのディレクトリトラバーサル
2004年7月30日(金曜日)
アーカイバのディレクトリトラバーサル
セキュリティホールmemo で「未対策・未発表な多数の国内産脆弱 (www.st.ryukoku.ac.jp)」という話が紹介されていますね。XSS はまあ特にどうということはない (!) のですが、アーカイバのディレクトリトラバーサルの話は興味深いです。
そもそも「自己解凍書庫がそのまんまインストーラ」というソフトがあったりしますので、書庫側で任意のパスを指定できる機能は必要なのだろうと思います。ただ、それが警告なしでできてしまうのは問題があるでしょう。「指定外のディレクトリにファイルを展開しようとしています」という警告が出たりするのがベターかな、と思います。
- 「アーカイバのディレクトリトラバーサル」へのコメント (2件)
関連する話題: セキュリティ
- 前(古い): ココログ大アンケート
- 次(新しい): 「正しくない」URL の処理
