実身を得て覚醒した 1ch.tv Part109
え〜とですね、要約しますと
・form.cgiは一言レスの書込みフォームを作るCGI。レス先の発言を
引用文として読み込んで表示します(ここがポイント)。
・ところが。ログファイルだけじゃなくて、「指定されたファイルなら何でも」
「ファイルどころかディレクトリ一覧でさえも」表示しちゃうことが判明。
全てのCGIの中身を、1行づつであるが見ることが可能に。
・さらにさらに。「WEBページとして公開しているディレクトリのみならず、
ルートまで遡って全てのディレクトリを見ることが可能」なことも判明。
サーバ上で、可読パーミッションが立ってる全てのファイルが丸見えに。
てな感じわけです。CGIの内容が漏れる以上に致命的<全部丸見え
・form.cgiは一言レスの書込みフォームを作るCGI。レス先の発言を
引用文として読み込んで表示します(ここがポイント)。
・ところが。ログファイルだけじゃなくて、「指定されたファイルなら何でも」
「ファイルどころかディレクトリ一覧でさえも」表示しちゃうことが判明。
全てのCGIの中身を、1行づつであるが見ることが可能に。
・さらにさらに。「WEBページとして公開しているディレクトリのみならず、
ルートまで遡って全てのディレクトリを見ることが可能」なことも判明。
サーバ上で、可読パーミッションが立ってる全てのファイルが丸見えに。
てな感じわけです。CGIの内容が漏れる以上に致命的<全部丸見え
|
|
|