「WASForum Conference 2008: Security Wars EpisodeⅢ」へのコメント

赤い人 (2008年7月31日 19時5分)

>事件からずいぶん年月も経ったことですし、技術的な部分については情報を公開した方が良いのかもしれないと思ったり。

うろ覚えですが、Officeさん事件の手法を公開してみます。

・Post(?)リクエストで送信するパラメータにエラーページが指定されている

・そのパラメータにソースコードのcgiを指定したら、データの格納先がわかった

・そのパラメータにデータの格納先を指定したら、個人情報が取得できた

教訓：「遷移先のページをパラメータで渡すな！」ですかのぅ

それにしても、こんなに楽しいネタがあるなら、WAFカンファレンス行きたかったです。

「水無月ばけらのえび日記 : WASForum Conference 2008: Security Wars EpisodeⅢ」についてコメントを書く場合は、以下のフォームに記入してください。