ブログ カレンダー

« « 2024 4月 » »
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 1 2 3 4

カテゴリ一覧

アーカイブ

(1) 2 »

過去ログの検索

最新のエントリ

趣味のブログのトップへ

最新のコメント

  1. 2015.06.20 23:36 OhYeah! [ブログ] Re: Pydio を WebDAV サーバにする
  2. 2015.06.19 09:59 tom [ブログ] Re: Pydio を WebDAV サーバにする
  3. 2015.06.14 23:17 OhYeah! [ブログ] Re: Lazarus の SQLite3 絡みのバグでハマった
  4. 2015.04.22 22:27 OhYeah! [ブログ] F-01F で 128GB microSDXC 動作確認
  5. 2015.02.16 22:54 OhYeah! [ブログ] Re: Lazarus の SQLite3 絡みのバグでハマった

最新のトラックバック

趣味のブログ - AjaXplorer の Windows サーバにおけるセキュリティ対策

AjaXplorer の Windows サーバにおけるセキュリティ対策

カテゴリ : 
Ajax
執筆 : 
OhYeah! 2010.08.21 21:00
 AjaXplorer を Windows サーバで使用する場合、たんたかさんのサイトで紹介されているように、アドレスバーに '../../../../' などと入力すると、公開しているフォルダーより上位のフォルダーまで見えてしまうというセキュリティホールがあります。2.6.1 でも修正されていません。
 私は自宅の Windows サーバとレンタルの Linux サーバの両方で AjaXplorer を使っているので、同じコードでどちらにでも対応できるように、たんたかさんのパッチを下記のように修正して使っています。

 server/classes/class.Utils.php の function securePath の
	function securePath($path)
	{
		if($path == null) $path = ""; 
		//
		// REMOVE ALL "../" TENTATIVES

	function securePath($path)
	{
		if($path == null) $path = ""; 
		if (preg_match('/^Win/', php_uname('s'))) $path  = str_replace('\\', '/', $path); // Added by OhYeah!
		//
		// REMOVE ALL "../" TENTATIVES
です。

トラックバック

トラックバックpingアドレス http://www.o-ya.net/modules/d3blog/tb.php/12

コメント一覧

0件表示 (全0件) すべてのコメント一覧へ