cakephperの日記(CakePHP, Laravel, PHP) Twitter


継続的WebセキュリティテストサービスVAddyを始めました!

2012-05-07

facebookにPHP CGIの脆弱性を試してみたら面白い対策がされていた!!

PHPに新たな脆弱性が見つかって、CGIモードで動作するPHPの場合コマンドライン引数HTTP経由で渡せてしまうため、-sオプションを渡すとPHPソースコードが丸見えになるというのが話題になってます。(-sオプションhtmlシンタックスハイライトまでしてくれてコードが見やすくなる)


そこでFacebookに向けてこれを試してみると・・・

https://www.facebook.com/?-s


こんな情報が!!

<?php

include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS';

このURLにアクセスすると、セキュリティエンジニア求人情報ページに行きます :)

おしゃれー

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証