senooken JP Social
  • FAQ
  • Login
senooken JP Socialはsenookenの専用分散SNSです。

  • Public

    • Public
    • Network
    • Groups
    • Popular
    • People

Conversation

Notices

  1. いつも魚とトマトを買いに来る客 (momosetkn@qiitadon.com)'s status on Friday, 07-Sep-2018 16:23:51 JST いつも魚とトマトを買いに来る客 いつも魚とトマトを買いに来る客

    このシステム、Webサーバー内の絶対パスをクエリパラメーターにしてる箇所があるので、ファイル取り放題。
    ディレクトリトラバーサルの脆弱性以前のセキュリティレベルですね。

    In conversation Friday, 07-Sep-2018 16:23:51 JST from qiitadon.com permalink
    • かーてん and ひだお初段@Qiitadon repeated this.
    • いつも魚とトマトを買いに来る客 (momosetkn@qiitadon.com)'s status on Friday, 07-Sep-2018 16:26:59 JST いつも魚とトマトを買いに来る客 いつも魚とトマトを買いに来る客
      in reply to

      この脆弱性により、WebからWebサーバーのログファイルが取得できます。SSHでログインしなくてもいい!便利ですね!

      In conversation Friday, 07-Sep-2018 16:26:59 JST permalink
      かーてん and ひだお初段@Qiitadon repeated this.
    • いつも魚とトマトを買いに来る客 (momosetkn@qiitadon.com)'s status on Friday, 07-Sep-2018 18:21:34 JST いつも魚とトマトを買いに来る客 いつも魚とトマトを買いに来る客
      in reply to

      ディレクトリトラバーサルの脆弱性を報告したら「バレたらヤバいやつです。しれっと直しましょう。」という話になりました。
      便利だったのになあ。この脆弱性…。Good-bye ディレクトリトラバーサル。

      In conversation Friday, 07-Sep-2018 18:21:34 JST permalink
      ひだお初段@Qiitadon repeated this.

Feeds

  • Activity Streams
  • RSS 2.0
  • Atom
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

senooken JP Social is a social network, courtesy of senooken. It runs on GNU social, version 2.0.2-beta0, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All senooken JP Social content and data are available under the Creative Commons Attribution 3.0 license.