<< March 2024 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 >> ファイルオープン時のパスにご用心 Perlでファイルを読み書きする際に、open文がよく使われる。 open文の引数に親ディレクトリへの相対パスを示す文字列"../"が含まれる場合、意図していないディレクトリへのアクセスを許してしまう。この攻撃をディレクトリトラバーサルという。 同様にパイプ文字"|"が含まれる場合、パスで示される外部プログラムが実行される。この攻撃をダイレクトOSコマンドインジェクションという。ディレクトリトラバーサルと組み合わせて、任意のコマンドを実行することが可能となる。 これらの攻撃を防ぐため、 ホワイトリスト方式で入力文字列を検査する 入力文字列を直接引数としな