にゃあ

遂に浮上?アップローダーの脆弱。

公式でこんな記事を発見

http://www.xoops.org/modules/news/article.php?storyid=2114

これによると、アバターのアップロード機能に脆弱があるらしい。詳しい考察ができるまで、管理者はこの機能をOFFにすることが薦められている。イメージマネージャも信用できないユーザに使わせないようにとのこと。

The problem comes from uploading a file where you rely on the browser to set the mimetype without caring about the extension, thus allowing the user to upload an "image" e.g. with the extension .php4 that can subsequently be executed just by showing the "image"

だって。拡張子もちゃんとチェックしていると思ったのに残念。

取りあえずOFFにしておこうかなあ~

コメント&トラバ

トラックバックを送る

無関係なスパムのトラックバックを防止するため、リンク先で本サイト(suin.asia)への言及が確認されないトラックバックは破棄しています。

トラバURL : http://suin.asia/trackback/222

コメントを書く

お名前* URL
本文*
合い言葉* ←「plerarchcho」と入力して下さい。
* この記事の話題と関係ないコメントはどんな内容でも削除します。(移動できないので)

トラックバック

トラックバックがないのはさみしいにゃん…。

コメント

コメントはないです。誰かコメント書いてよぅ…。

Author


Suin

Follow Twitter

Submenu

Recent Entries

XOOPS Cube Dev Ring

氷川 XOOPS Module 開発室

Recent Comments

Amatsuki
Durarara Chat Translation (01/25)
ran
Durarara Chat Translation (03/11)
にゃん
掲示板は暫く休業します。 (04/16)
Kitsune II
Durarara Chat Translation (05/09)
aoi
HTML5でファイル複数同時アップロード (04/27)
たっけ
古典類型論 (01/13)
Dexter
Durarara Chat Translation (05/08)
たっけ
グリムの法則(Grimm's Law) (01/13)
臨也@あんまん
デュラララに登場するチャットと寄付のお願い (05/07)
MuffinJin#5;UgCIPd
Durarara Chat Translation (05/07)

Recent Trackbacks

ZF-Exブログ
[PHP] 配列を文字列に変換して取っておく4つの方法 (04/02)
ZF-Exブログ
[PHP] 配列を文字列に変換して取っておく4つの方法 (04/02)
プラスα空間
ターミナルからの差分確認にMacのopendiffが便利な件 (02/15)
CreaMo!
MAMPをパスワード無しで起動・終了する方法 (06/04)
YONEZO-NET
Smarty2.0からSmarty3.0への変更点 (03/28)
1-byte.jp
もっとより良いPHPerになるためのTips (03/28)
浜村拓夫の世界
さくらVPS+CentOS:SSHの設定 (02/22)
Ubuntu日記
CSS3で何の変哲もない画像をiPhone,iOS風のアイコンに変身させる (02/08)
ひとりで喜ぶログ
デュラララに登場するチャットを再現した (04/09)
ひとりで喜ぶログ
デュラララに登場するチャットを再現した (03/28)