アカウント名:
パスワード:
事だけはわかるけど。Zone-H.org にも情報は無いし。 過去のページが見れるサイトでJR東のサイトの去年のソースを見
との事。 telnet の 80 で http://www.jreast-search.jp/result/search.php [jreast-search.jp] のヘッダを見ると…
Server: Apache X-Powered-By: PHP/5.2.4 Content-Type: text/html; charset=UTF-8
かぁ。PHP 5.2.4 って、リ2007年9月3日にリース [php.gr.jp]されたバージョンね。5.2系だと最新はPHP 5.2.12 [php.net] だから、8 つ前のバージョンかぁ。だいたい PHP って脆弱性の常連…Finding vulnerabilities in PHP scripts FULL ( with examples ) [milw0rm.com]とか出てるし、古くは 5.2.6 では PHP path translation vulnerability [cert.org]、5.2.7 もPHP におけるクロスサイトスクリプティングの脆弱性 [jvn.jp]が出てるし。5.2.4 だけど、パッチはバックポートしてるのか? そうでなけりゃ、実質「ノーガード戦法」なのですぐまたヤラれそうな予感。
こりゃ [ascii.jp]、バージョンを上げても別の攻撃手段を使って書き換えられそうですね。
最新版にゼロデイ攻撃の手段がないことの証明は、悪魔の証明ですよねぇ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
検索は別のドメインで行っていた模様 (スコア:5, 興味深い)
事だけはわかるけど。Zone-H.org にも情報は無いし。
過去のページが見れるサイトでJR東のサイトの去年のソースを見
Re:検索は別のドメインで行っていた模様 (スコア:3, 参考になる)
との事。 telnet の 80 で http://www.jreast-search.jp/result/search.php [jreast-search.jp] のヘッダを見ると…
かぁ。PHP 5.2.4 って、リ2007年9月3日にリース [php.gr.jp]されたバージョンね。5.2系だと最新はPHP 5.2.12 [php.net] だから、8 つ前のバージョンかぁ。だいたい PHP って脆弱性の常連…Finding vulnerabilities in PHP scripts FULL ( with examples ) [milw0rm.com]とか出てるし、古くは 5.2.6 では PHP path translation vulnerability [cert.org]、5.2.7 もPHP におけるクロスサイトスクリプティングの脆弱性 [jvn.jp]が出てるし。5.2.4 だけど、パッチはバックポートしてるのか? そうでなけりゃ、実質「ノーガード戦法」なのですぐまたヤラれそうな予感。
Re: (スコア:0)
こりゃ [ascii.jp]、バージョンを上げても別の攻撃手段を使って書き換えられそうですね。
最新版にゼロデイ攻撃の手段がないことの証明は、悪魔の証明ですよねぇ。