アカウント名:
パスワード:
うちはPHP/5.5.5だけど、どうなるのかなと思って、わざわざCGI版作ってエンコードされたURL打ってみたら、/cgi-bin/phpが無かったので不発。わざわざ/cgi-bin作ってリンク張ったのにどうして?と思ったらphp呼んでるのね。php-cgiに変えても良かったけど、php-cgiからphpにリンク貼り替えてもう一度トライしたら、ログにこんなん吐かれた。
%response<b>Security Alert!</b> The PHP CGI cannot be accessed directly.%stdout <p>This PHP CGI binary was compiled with force-cgi-redirect enabled. Thismeans that a page wi
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
こんなのあるんだ (スコア:0)
うちはPHP/5.5.5だけど、どうなるのかなと思って、わざわざCGI版作ってエンコードされたURL打ってみたら、/cgi-bin/phpが無かったので不発。
わざわざ/cgi-bin作ってリンク張ったのにどうして?と思ったらphp呼んでるのね。
php-cgiに変えても良かったけど、php-cgiからphpにリンク貼り替えてもう一度トライしたら、ログにこんなん吐かれた。
Re:こんなのあるんだ (スコア:1)
今回は/cgi-bin/phpに直接攻撃できるので、攻撃者もわざわざphpスクリプトを探す必要が無くて便利なためか(?)、結構あちこち事前スキャンが始まってるみたいです。
CLI版なら、今回の脆弱性の根幹である「GET引数のパラメタがそのままPHPパラメタに渡ってしまう」が無いので大丈夫なはずですが、今後の研究に期待(?)ですね。お気を付けてー