K.Maebashi's BBS 投稿フォーム
ハンドル名
件名
Link
>こんばんは。 > >早々にご確認・ご回答頂きまして、まことにありがとうございます。 >当方でも様々な文字で確認してみましたが、やはり上手くいくときといかないときがあり、よくわからない結果となってしまいました。 >ブラウザ等の仕様に起因するところもあるかと思うので厳密には分からないかとは思いますが、もともとの目的である動き・仕様は理解できたので先に進もうかと思います。 > >ちなみに、また別の質問となってしまい恐縮ですが、 >Modoki/0.2で、ディレクトリトラバーサル攻撃を検知 → 404.htmlをリターンする、 >即ち (!realPath.startsWith(DOCUMENT_ROOT)) を true にするには、 >どのようなGETリクエストを飛ばすと実現できるものでしょうか? > >過去の例にあったような「http://localhost:8001/../conf/httpd.conf」 >をブラウザで入力してデバッグすると、NoSuchFileExceptionが先に発生するような動きをしてしまいました。 > >TcpServerを動かして、ブラウザに「http://localhost:8001/../conf/httpd.conf」 >を入力して、GETリクエストを取得してみると、 >「GET /conf/httpd.conf HTTP/1.1」となっていましたので、 >サーバがGETリクエストを受け取った時には、pathが/conf/httpd.confとなっているようです。 >そうすると、realPathは「C:\Apache24\htdocs\conf\httpd.conf」になるので、 >確かに、NoSuchFileExceptionが発生することが自然な動きのようにも思えます。 > >以上、よろしくお願いいたします。
spamよけのため、ここに「ほげぴよ」と入力してください。
削除パスワード :
クリック!