株クエリー開発日記

株式投資情報サイト開発の記録やバグハントなど。

2019-01-30から1日間の記事一覧

rubyのバグ

最近hackerone見ててなるほどなーって思ったバグ。 rubyの標準ライブラリのNET::FTPで getbinayfileなどの関数でファイル名の先頭に|が付いてるとコマンドを実行してしまうという脆弱性。 内部でfileでなくkernelのopenを使ってるからですね。 よく見つける…