用語「ng_file=csvmail.cgi」について
ng_file=csvmail.cgi (えぬじーふぁいるいこーるしーえすぶいめいるしーじーあい)
話題 : セキュリティ
csvmail.cgi のディレクトリトラバーサルを実証するために使用された exploit コード。
csvmail.cgi に対して ng_file=csvmail.cgi というパラメータを POST すると、csvmail.cgi 自身のソースコードが表示されるようになっていました。
たったそれだけですし、このコードだけでは個人情報を含むデータが表示されることもないのですが、この exploit を追試しただけでも不正アクセス禁止法違反の容疑に問われるようです。実際、警察に家宅捜索されたり起訴されたりした人がいます。
ディレクトリトラバーサルって怖いですね。別の意味で。
- 「ng_file=csvmail.cgi」にコメントを書く
