出å‘ã®çµŒé¨“ã‚’æŒã¡å¸°ã£ã¦ã‚‚ã€æ‰€å±žéƒ¨ç½²ã¯ç„¡é–¢å¿ƒâ€¦ã€€ã‚¤ãƒŽãƒ™ãƒ¼ã‚·ãƒ§ãƒ³ã‚’阻む「もã£ãŸã„ãªã„ã€çµ„ç¹”ã«ã‚ã‚ŠãŒã¡ãªã“ã¨
ãƒã‚°ãƒŸãƒ¼Biz
出å‘ã®çµŒé¨“ã‚’æŒã¡å¸°ã£ã¦ã‚‚ã€æ‰€å±žéƒ¨ç½²ã¯ç„¡é–¢å¿ƒâ€¦ã€€ã‚¤ãƒŽãƒ™ãƒ¼ã‚·ãƒ§ãƒ³ã‚’阻む「もã£ãŸã„ãªã„ã€çµ„ç¹”ã«ã‚ã‚ŠãŒã¡ãªã“ã¨
BASHã®è„†å¼±æ€§ã§CGIスクリプトã«ã‚¢ãƒ¬ã•ã›ã¦ã¿ã¾ã—ãŸ
環境変数ã«ä»•è¾¼ã¾ã‚ŒãŸã‚³ãƒ¼ãƒ‰ã‚’実行ã—ã¦ã—ã¾ã†BASHã®è„†å¼±æ€§ãŒ CGIスクリプトã«å½±éŸ¿ã‚’与ãˆã‚‹ã‹è©¦ã—ã¦ã¿ãŸã‚‰çµæžœã¯æ‚²æƒ¨ãªæ„Ÿã˜ã« Tweet 2014å¹´9月25æ—¥ 嶋田大貴 ã“ã®è¨˜äº‹ã¯2014å¹´ã®ã‚‚ã®ã§ã™ æœã‹ã‚‰ Bash specially-crafted environment variables code injection attack ãªã‚‹ã‚‚ã®ã§é¨’ãŽã«ãªã£ã¦ã„ãŸã®ã§ã€ã•ã£ãã手元㮠Apacheã§è©¦ã—ã¦ã¿ã¾ã—ãŸã€‚ /hoge.cgiã¨ã„ã†URIã§å®Ÿè¡Œã•ã‚Œã‚‹ã‚ˆã†ã«ã€ä¸€è¡Œã®ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸ã‚’出力ã™ã‚‹ã ã‘ã® CGIスクリプトをè¨ç½®ã—ã¾ã™ã€‚ã„ã£ã‘ã‚“ã€ãªã‚“ã®å…¥åŠ›ã‚‚クライアントå´ã‹ã‚‰å—ã‘付ã‘ã¦ã„ãªã„ãŸã‚å±é™ºã®ã‚りよã†ã‚‚ãªã見ãˆã¾ã™ã€‚ #!/bin/sh echo "Content-type: text/plain" echo echo "Hi! I'm an ordinary CGI script w
ランã‚ング
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
処ç†ã‚’実行ä¸ã§ã™
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}