趣味のブログ - AjaXplorer の Windows サーバにおけるセキュリティ対策
AjaXplorer を Windows サーバで使用する場合、たんたかさんのサイトで紹介されているように、アドレスバーに '../../../../' などと入力すると、公開しているフォルダーより上位のフォルダーまで見えてしまうというセキュリティホールがあります。2.6.1 でも修正されていません。
私は自宅の Windows サーバとレンタルの Linux サーバの両方で AjaXplorer を使っているので、同じコードでどちらにでも対応できるように、たんたかさんのパッチを下記のように修正して使っています。
server/classes/class.Utils.php の function securePath の
server/classes/class.Utils.php の function securePath の
function securePath($path)
{
if($path == null) $path = "";
//
// REMOVE ALL "../" TENTATIVES
を function securePath($path)
{
if($path == null) $path = "";
if (preg_match('/^Win/', php_uname('s'))) $path = str_replace('\\', '/', $path); // Added by OhYeah!
//
// REMOVE ALL "../" TENTATIVES
です。トラックバック
トラックバックpingアドレス http://www.o-ya.net/modules/d3blog/tb.php/12
コメント一覧
0件表示
(全0件)
すべてのコメント一覧へ