16進数をバイナリのファイルにして返してくれるWebページ作って公開した[停止済み]

ググっても無かったり、怪しすぎて使いにくかったりしたので面倒になって自作。

http://blog.gumu-lab.com/tool/bin.php

どこがWebページなのか聞きたくなるほど適当なUI。

もしかして:POSTパラメータで外から投げさせれば怪しげな実行ファイル仕込める?

リファラを確認しています。対策が足りないようならメールフォーム等からご一報ください。

もしかして:ファイル一回毎に作ってる?

作ってません。安心して(?)ご利用ください。ファイル名を設定する為にactionの飛ばす先を動的に書き換え、飛ばしています。ただソースから察せますが、../とかファイル名に含むと上手く動きません(ブログに飛んだりする程度、脆弱性はないはず)

2014/09/08 追記

ファイル名の末尾をhtmlにすることで自由なスクリプトを実行できてしまう問題(IEで確認)、blog.gumu-lab.comドメイン下ではあるものの、Ajaxのクロスドメインが回避できてしまう問題や、が存在したので公開停止しました。

カテゴリー: Web関連, サーバ関連, プログラミング関連 パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です