アカウント名:
パスワード:
世の中にあるURLのケツに.bakとか.oldとか付けていったらいろんなものが見れそうですね.
脆弱性が残った古いバージョンが.bakとして残っていたとか、ありそう…。タレコミによれば「脆弱性じゃない」らしいから、ほとんどのところは対応しないだろうし、クラッキングがはかどりますね。
ドットよりアンダースコア、_bak, _oldの方がよく使われてそうですね
_index.htmlとかindex.html_index.html__とか良くやってた記憶が
index.html# ってやると、URLを打ってもindex.html内アンカーへのリクエストと解釈するルールが優先されるから安全。
って聞いたんだが、本当なんだろうか。何か見落としているんじゃないかと気になってしょうがない。
http://example.com/index.html%23 [example.com]
これでリクエストできちゃいますよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
index.php.bak (スコア:1)
世の中にあるURLのケツに.bakとか.oldとか付けていったらいろんなものが見れそうですね.
Re: (スコア:0)
脆弱性が残った古いバージョンが.bakとして残っていたとか、ありそう…。
タレコミによれば「脆弱性じゃない」らしいから、ほとんどのところは対応しないだろうし、クラッキングがはかどりますね。
Re: (スコア:0)
ドットよりアンダースコア、_bak, _oldの方がよく使われてそうですね
Re: (スコア:0)
_index.html
とか
index.html_
index.html__
とか
良くやってた記憶が
Re: (スコア:0)
index.html# ってやると、URLを打ってもindex.html内アンカーへのリクエストと解釈するルールが優先されるから安全。
って聞いたんだが、本当なんだろうか。
何か見落としているんじゃないかと気になってしょうがない。
Re:index.php.bak (スコア:1)
http://example.com/index.html%23 [example.com]
これでリクエストできちゃいますよ。