七行プログラミング

七行プログラミング (452ﾚｽ)
上下前次1-新
抽出解除ﾚｽ栞

215(1): PATH_INFO 内での '..' 03/12/12 19:52 ID:O0tbE8Vp(2/2)調 AAS
>>186 読んで思い出した。
PATH_INFO に .. が現れるのってどういった場合なんでしょう？
親ディレクトリより上を参照出来る危険があるのかなと思ったけど。
QUERY_STRINGからなら勿論チェックが必要ですが。
PATH_INFOの場合CGI自体が呼ばれない様な気がする。

以下のようなリクエストを試してみました

http://www.example.com/bar.cgi/../
http://www.example.com/~foo/bar.cgi/../
http://www.example.com/~foo/bar.cgi/../~foo/bar.cgi

bar.cgi/../ とすると、
サーバーは bar.cgi のあるディレクトリの indexを返してくる様なんだけど。
これって、サーバーの実装に依存するのかな？apache,IIS他幾つかのサイトで確認。
流石にDocumentRootより上を参照しようとするとBad Requestになるけど。

今、丁度7行HTTPdを公開しようと調整していたので、自分でも調べるつもりですが
もし、詳しく知ってる方いたらフォローお願いします。m(_ _)m

217(1): 03/12/15 02:27 ID:??? AAS
>>215
/foo%5C..%5C..%5Cbar なんてのをそのまま Win 鯖で食うとヤバいかと。

上下前次1-新書関写板覧索設栞歴

ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 1.236s*