めも帖

「めも帖」代わりにダラダラと書いていったり、めもしたりしているだけです。

cgi-lib.plの脆弱性?

脆弱性というか、気になった点をめも。

  • cgi-lib.plを使ったCGI
  • POST時にcontent-typeを書き換えて送信。
  • cgi-lib.plはcontent-typeがわからない、とエラー表示
  • エラー表示時に$ENV{'CONTET-TYPE'}が表示

ということで、任意のスクリプトが実行可能。

とはいえ、自分でcgi-lib.plは使わないのだけれど、メンテナンスで気づいたのでめも。