[過去ログ] スレ立てるまでもない質問はここで 158匹目 (1002レス)
上下前次1-新
抽出解除 必死チェッカー(本家) (べ) 自ID レス栞 あぼーん
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
915(3): デフォルトの名無しさん [] 2022/02/08(火) 09:47:03.11 ID:bAyvCX5S(1/4) AAS
素朴な疑問ですが、
よく「プログラムのバージョンを上げないとセキュリティが〜」
って言われますけど、古いバージョンが使用されているプログラムは多いです。
OSならネットワーク上から攻撃されてハッキング対象になりやすい
ってイメージがわくのですが、プログラムの場合は関係あるのでしょうか?
開発当初にCSRFやXSS対策をしていれば、古くても使えそうに思うのですが
918(2): デフォルトの名無しさん [sage] 2022/02/08(火) 10:10:15.36 ID:bAyvCX5S(2/4) AAS
>>916916(1): デフォルトの名無しさん [sage] 2022/02/08(火) 09:54:25.50 ID:qcEKTVtA(1) AAS
>>915
log4j 脆弱性 でググってみ
これほど簡単に悪用できる例は稀だけど、基本的な考え方は同じ
プログラムに外部から特定のパターンの入力を食わせることでライブラリやミドルウェアの脆弱性を狙うの
確認しました。基本的にApacheやJavaの問題ですかね?
WEBサーバーの問題なら簡単にバージョンアップできないし
どうすればいいんでしょうね。レンサバ使ってたら大丈夫?なのだろうか
921: デフォルトの名無しさん [sage] 2022/02/08(火) 10:31:39.83 ID:bAyvCX5S(3/4) AAS
>>919919(1): デフォルトの名無しさん [] 2022/02/08(火) 10:17:19.60 ID:dSmclQcV(1/2) AAS
>>918
今回はJavaだったけど今後はわからないよ
zipのライブラリのバグなんかもあったし
発見されたバグが自分のプログラムに問題を起こすかを検証するよりライブラリを更新して動くかを確認するほうが激しく簡単
フレームワークのバグの可能性もありますからねぇ。
ただ、Webの場合はそこまで被害広がらない気がします
URLとかフォームから特別なリクエストがあっても
サーバー側で無効化する処理を入れていれば
>>920未だにPHP4が使えるサーバーもありますし、
わりと大丈夫じゃないか?と思うんですけどね
927: デフォルトの名無しさん [sage] 2022/02/08(火) 13:15:00.68 ID:bAyvCX5S(4/4) AAS
>>923923(1): デフォルトの名無しさん [sage] 2022/02/08(火) 11:29:23.25 ID:Vznqt3iZ(1/2) AAS
共用レンタルサーバーで侵入されたことあるぞ
変なフォルダとファイルが無数に生成された
侵入されたのは俺原因じゃない
そういえば自分も全く同じことがありました。
さくらレンタルサーバですが、
原因はおそらくMovableTypeだと思います。
(随分前に動作確認で設置していた)
ただ、古いバージョンのシステムまで面倒見きれない
という開発側の気持ちもわかるので、難しいところです
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.046s