ファイルオープンの罠 - Journal InTime(2017-12-15)

テクノロジーカテゴリーの変更を依頼記事元:

shugo.net

51 usersがブックマークコメント

コメント

8

記事へのコメント8件

注目コメント
新着コメント

xbs2r 20年前のエンバグか。歴史を感じるなあ

2017/12/18 リンク

rryu Kernel#openはあるあるネタだけど、File.readもなのか…

2017/12/18 リンク

shag shell injection かな。

2017/12/18 リンク

tyru Perl でも open() の引数にファイル名だけ渡せるようにできるのに、もしかして Ruby って | とか来ないようにエスケープするしかないの？

2017/12/18 リンク

gfx Kernel#open に外部から来た文字列を渡してはいけないという話

ruby

2017/12/18 リンク

cho45 File.read などの実態が IO.read なのでパイプが通る罠がこわい。Kernel#open はワンライナー以外では使わなそうだけど

2017/12/18 リンク

koyancya うおっ...... 全然意識してなかった......

2017/12/18 リンク

tmtms open が危ないのは認識してたけど、File.read は盲点だった。こわいなー。

2017/12/16 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

ファイルオープンの罠 - Journal InTime(2017-12-15)

_ ファイルオープンの罠僕が書いたNet::FTPのコードに脆弱性報告があり、修正版がリリースされた。関係... _ ファイルオープンの罠僕が書いたNet::FTPのコードに脆弱性報告があり、修正版がリリースされた。関係者のみなさん、ありがとうございました。 CVE-2017-17405: Net::FTP におけるコマンドインジェクションの脆弱性について問題があったのは以下のようなコードだった。 def getbinaryfile(remotefile, localfile = File.basename(remotefile), blocksize = DEFAULT_BLOCKSIZE, &block) # :yield: data f = nil result = nil if localfile if @resume rest_offset = File.size?(localfile) f = open(localfile, "a") else rest_offset = nil f

ブックマークしたユーザー

kyo_ago2017/12/22
msakamoto-sf2017/12/21
kadzuya2017/12/20
sidebiz2017/12/19
a2ikm2017/12/19
Watson2017/12/19
yogasa2017/12/19
writers-high2017/12/18
love0hate2017/12/18
xbs2r2017/12/18
mstk_knife2017/12/18
slkby2017/12/18
peketamin2017/12/18
rryu2017/12/18
mooonymann2017/12/18
sho-logic2017/12/18
komlow2017/12/18
anatofuz2017/12/18

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx