開発日々の走り書き~

Days of development


ディレクトリトラバーサルの恐怖!

自分の作ったウェブアプリの中には、GETパラメータに応じてhtmlテンプレを変更するものがあるのだが。。

ディレクトリトラバーサルを勉強していてふと気が付いた!

・・・

もしかしたら余計なファイルへアクセスできてしまう!???

試してみたが、とりあえずOK!

明示的に指定パラメータ以外通さないロジックになっていた!(セキュリティ対策:ホワイトリスト法ってやつね!)

まあでも。。
最近ウェブアプリのセキュリティ関連を徹底的に勉強し直し中だが、いろいろセキュリティには気をつけないとね。。


スポンサードリンク

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">