(`・ω・´)らんらん君!ここにマニュアルあるからソフトインストールしといて
(´・ω・`)はい
マニュアル<インストールの説明:ソフトをインストールします 
 (´・ω・`)!?!?!?!??!?!?!?!?!??!?!!??!?!?



 
・XSS
GETの値をそのままechoとかで出力しちゃいけないんすよね。
どういうことかって言うと、そのままechoとかprintしちゃうと、スクリプトが動いちゃうんすよ。
ex)<script>alert%28"xss"%29;</script>
こいつをGETでエンティティしてないページに渡してやると、アラートウィンドウが出ます。
こいつはウィンドウ出すだけですけどね。こいつはね。

.php?name=<script>alert%28"xss"%29;</script>
GETを使っているphpファイルは、ケツに?変数名=値 で引数を渡せます。上みたいに。
なので、脆弱性のあるphpファイルのケツにこういう記述をしたアドレスを誰かに踏ませると、 他人のサーバを使って攻撃ができるわけですね。

お察しの通りやらかしました。試験したのに気付かなかったんだよ!
首を傾げながら調べてて気づいたんですが、クロームって実はスクリプトを勝手に抑え込んでくれるみたいなんすよ。で、開発環境がクロームだったので漏れに気づかず死亡。せやな。


・ワードプレスのカレントディレクトリ変更
俺じゃないといえば俺じゃないんですが、知り合いに頼み事をしてて、その知り合いがうっかりワードプレスのカレントディレクトリをいじってしまって誰もログインできなくなっちゃったという事象。
これ変えちゃいけないんですね。画面から変えれるようになってるのにな!詐欺。 

最初はWP本体のどっかに直接書いてあると思ってFTPでチラ見してたんですが見つからず。
これひょっとしてDBじゃねと思って探したらDBでした。
幸い10分ぐらいで復旧したのでばれませんでしたが、冷や汗をかきました。

あるよね。ドミあたりも俺的にはやらかし。すまん。
スポンサードリンク