web/スクリプトインジェクションデモについて、ここに記述してください。
徳丸 浩: 2012年11月22日 - 8:50 · https://twitter.com/ockeghem/status/271400166144217091
【緩募】スクリプトインジェクションのデモで、注入するスクリプトとして見栄えのするもの
1. 前提条件 (tweetから)
サーバーサイドスクリプトインジェクション
任意のPHPスクリプトが実行できる脆弱性のデモをします。
- そのスクリプトはapacheと同じユーザで動作します
…という前提です (apache がower のファイルには書き込み可能とのこと tm)
PHPからシェルが呼び出せますので、シェル(UNIXコマンド)でできることでも大丈夫です
- Ubuntuですので、bashですね。
その先はwgetとか一般的なもの。
- デモなので、予め仕込んでおくことは可能です(わざとらしくなければ)
なんでもありだとセキュリティ屋は喜びます:)
2. なにが見栄えしそうか
- shell window がpop up! だけでは見栄えしない!
-- ToshinoriMaeno 2012-11-22 03:01:16