Perlでのディレクトリトラバーサル攻撃対策

2011/7/600:17:25

ディレクトリトラバーサル対策のため変数$filenameに/や\が含まれていれば処理を中断するようなプログラムを組むにはどうすればいいでしょうか?
if($filename !~ /[^ 0-9A-Za-z]/){
処理
}
print "エラー";
とするとInternal Server Errorになってしまいます
正規表現だけでなくうまく対策する方法があれば教えてください

補足if($filename !~ /[^ \w]/){
$test = Jcode->new($filename)->sjis;
print (qq(Content-type:application/octet-stream; name=\"$filename\"\n));
print (qq(Content-Disposition: attachment; filename=\"$filename\"\n));
open(IN,"$filename");
print <IN>;
close( IN );
}else{
print "エラー";
}
書き直してみましたがエラーです
問題の部分はこのようなソースです
この上にperlのパスやjcode.pmがあります
仕様はWin+Apache2+perl5です

この質問は、活躍中のチエリアン・専門家に回答をリクエストしました。

共感した 0

閲覧数：: 528
回答数：: 2
お礼：: 250枚

違反報告

ベストアンサーに選ばれた回答

d4qd4qさん

編集あり2011/7/618:45:09

if($filename !~ /[^ \w]/){

}
else {
print "エラー";
}

# \wは0-9A-Za-zの文字クラス

ではないでしょうか。
また、print "エラー";
の前に、HTTPヘッダ(content-type:text/html; ...)
は出力していますか？

# 補足について
私の環境ではエラーが出ませんでした。
use CGI::Carp qw(fatalsToBrowser);
されてみてはいかがでしょう？(CGIでエラーが出た場合エラーメッセージを表示)
ただ、use CGI::Carpされる前のエラーはさすがに表示できませんが。

ナイス 0

違反報告

質問した人からのコメント

2011/7/6 22:21:19

いま試したところなぜか正しいファイル名を設定した時だけまともに動いて/や￥を入れたときはInternal Server Errorを返すという不思議なプログラムになっていました。
しかし一応目的は果たせました。
検証までしていただきありがとうございました

Yahoo!検索で調べてみよう

ベストアンサー以外の回答

1〜1件/1件中

aivarb_nonacさん

2011/7/600:46:54

こんにちは

正規表現だけでというのは、if(・・・)だけでってことでしょうか？
私にはわかりませんのでググッてみました。
１行では終わってないようですが、IPAのサイトに参考になるか分かりませんがコードがありました。

http://www.ipa.go.jp/security/awareness/vendor/programmingv1/b07_07...