[304] Re: 結果の解説

記事個別表示 (304)

えむけい (2003年7月10日 17時41分)

>Apacheのデフォルト設定などではabs_path中の".."も解釈しますが、ディレクトリトラバーサル系のホゥルを根絶するために".."なpath_segmentを含むURIは問答無用で弾く設定のWebサーバがあっても不思議はありません。

たとえば古いバージョンのAnHTTPDがそうですね。しかもわざわざAHLのために".."を解釈するようバージョンアップしたっぽいです。

http://homepage3.nifty.com/cito/namazu/gbold/19990411.html

RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。

全読: [290]Re: 結果の解説からのスレッド(18件)]
- [290] Re: 結果の解説 : えむけい (2003年7月10日 13時7分)
  - [293] Re: 結果の解説 : yuu (2003年7月10日 14時30分)
    - [296] Re: 結果の解説 : えむけい (2003年7月10日 14時47分)
      - [299] Re: 結果の解説 : yuu (2003年7月10日 15時14分)
  - [301] Re: 結果の解説 : ばけら (2003年7月10日 15時38分)
    - [302] Re: 結果の解説 : えむけい (2003年7月10日 16時43分)
      - [304] Re: 結果の解説 : えむけい (2003年7月10日 17時41分)
        [309] Re: 結果の解説 : y-Aki (2003年7月11日 12時13分)
        [310] Re: 結果の解説 : えむけい (2003年7月11日 12時17分)
        [311] Re: 結果の解説 : えむけい (2003年7月11日 12時26分)
      - [306] Re: 結果の解説 : ばけら (2003年7月10日 21時31分)
    - [303] Re: 結果の解説 : えむけい (2003年7月10日 16時50分)
  - [305] Re: 結果の解説 : いわい (2003年7月10日 20時3分)
  - [758] Re: 結果の解説 : えむけい (2003年8月27日 16時25分)
    - [1526] Re: 結果の解説 : えむけい (2004年1月23日 0時27分)
      - [1527] Re: 結果の解説 : えむけい (2004年1月23日 0時28分)
    - [2536] Re: 結果の解説 : えむけい (2005年1月29日 18時21分)
      - [2538] Re: 結果の解説 : ばけら (2005年1月29日 21時29分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>Apacheのデフォルト設定などではabs_path中の".."も解釈しますが、ディレクトリトラバーサル系のホゥルを根絶するために".."なpath_segmentを含むURIは問答無用で弾く設定のWebサーバがあっても不思議はありません。 >たとえば古いバージョンのAnHTTPDがそうですね。しかもわざわざAHLのために".."を解釈するようバージョンアップしたっぽいです。 >http://homepage3.nifty.com/cito/namazu/gbold/19990411.html >RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。