SSIインジェクション 00 - yujitounai/helloworld GitHub Wiki

SSIインジェクション/SSI Injection

SSI(ServerSideInclude)を許可している環境でユーザー入力を何も考えず処理している場合、悪意あるユーザーによってSSIが実行される

SSIを動かすためのApacheの設定

<Directory /var/www/html>
	Options Includes
	AllowOverride None
	Require all granted
	AddType text/html .shtml .php
	AddOutputFilter INCLUDES .shtml .php
</Directory>

Options +IncludeNOEXEC でexecは使えなくできる

⚠️ GitHub.com Fallback ⚠️