水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Apache モジュールを通さないで見えてしまう系

Apache モジュールを通さないで見えてしまう系

2005年6月14日(火曜日)

Apache モジュールを通さないで見えてしまう系

某サイトで、ちょっと URL を間違えたところ、サーバ側のスクリプトのソースと思われるものが見えてしまいました。想像するに、特定の URL が独自の Apache モジュールによってサーバ側で処理されることになっていて、しかしながらその対象となる URL の正規化がうまくできていないため、微妙に URL を間違えるとモジュールで処理されないまま出力されてしまうのではないかと。

※あるいはディレクトリトラバーサルも可能なのではないかと思いましたが、出来てしまったら怖いので試していません。

そういえば昔 .jsp を .js%70 と書くと見えるとか、.cgi を .cgi/ とすると見えるとかいう話がありましたが、それと同じような話だと思います。個人が開発しているような Apache モジュールって結構あると思いますが、中には結構まずいものもあるのかもしれません。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト