- - PR -
【情報】XPで"*..folder"ファイルを作ると…
1
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2004-01-29 19:00
ども。がるです。
なんか「ごっつたのしい」ホールを見つけたので、一筆。 以下、比較的安全な「テスト」です。 ターゲットはWindows XPです。 1.テキストファイルを用意して、適当にHTMLを書きます。 私は以下のように書いてみました。
2.ファイル名を"test.folder"に変更します ここで、アイコンが「フォルダ」になってるのが確認できます 3.ファイル名をダブルクリック。自動的にブラウザが立ち上がるか、と この問題で楽しいのは 「ダブルクリック時にどのように処理するかは動的に決定する」 らしいということです。すばらしい。 http://www.itmedia.co.jp/enterprise/0401/28/epn16.html http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/01.html#20040129_folder あたりをご覧くださいませ。 とりあえず、エクスプローラ使うときに「拡張子を表示」は 必須に思えるのですがどんなもんなんでしょ? さすがに「フォルダアイコン」だと、かなり無意識にダブルクリック しそうで、結構怖いです :-( | ||||
|
投稿日時: 2004-01-30 10:17
ども、ほむらです。
あっセキュリティMemo載っていたんですね。 僕が見に行ったときはまだなかったのに。。。。
すばらしいですよね〜 っていうかBinHEX4.0そのものは特に特別なものじゃないらしいので これって要するにウィルスとかすき放題にプログラムを HTMLに埋め込めるということのような気がする・・・ いやぁ、すばらしい。 しかも、これのすごいところはi.e経由でソース表示にしてもBinHEXの部分が見えないこと。 詐称し放題ウィルス仕込み放題ですよ。旦那。 いやぁ、すばらしい。 #アクティブスクリプトきっておこう。。。。 #Win98SEだから最近のウィルスは関係ないけど〜(笑 | ||||
|
投稿日時: 2004-02-26 15:52
この手の問題動作については、リモートからの実行を許可しているかどうかがポイントになりますね。IISなどのページに掲載して実行権を与えた状態で、何か他のオブジェクトを作ったり、内部コマンドの呼び出し実行ができるかチェックしておくと、実効性のある発見になります。リモートから実行されるなんて想像もしたくないですが。
_________________ Hiroaki Kondo Security Management Service Division Hucom,Inc. Japan hkondo@hucom.co.jp |
1