セキュリティースレッド

セキュリティースレッド (262ﾚｽ)
上下前次 1-新

162: 2006/03/28(火)23:09 ID:??? AAS
コピペを得意に語るなよ

163: 2006/04/09(日)04:27 ID:??? AAS
WEB2.0 = アジャイル = 寝言ポエム

164(1): 2006/05/05(金)04:48 ID:0pIEn1FP(1) AAS
上げるわよ

165: 2006/05/05(金)21:35 ID:DVXSQw0s(1) AAS
>>164
お前なんでこんな面白スレ、今まで隠してたんだよ。
>>161には大笑いさせてもらった。さすがwebprog板、香ばしさが一味違う。

166(1): 2006/05/21(日)06:36 ID:??? AAS
>>161の件について回ってみたら、パスワードを使い回してる香具師は馬鹿だから何の問題もないとか、
費用対策効果を考えると順当だとか、問題視することかなぁ、とか書いてあるが、
問題なく出来ることをしないのは訳が分からない。
アホか？とか思うんだけど、俺がアホなんでしょうか。

167: 2006/05/21(日)09:25 ID:??? AAS
>>166
大丈夫、俺もアホさ。

168: [age] 2006/05/23(火)22:37 ID:??? AAS
Fujitsu MyWeb Products SQL Injection Vulnerabilit
外部ﾘﾝｸ:secunia.com
CRITICAL: Moderately critical
SOLUTION: Contact the vendor for updated versions. 外部ﾘﾝｸ:www.myweb-jp.com

169: 2006/05/30(火)08:23 ID:??? AAS
hana=mogera

170(2): 2006/08/03(木)06:41 ID:HjJyuduF(1) AAS
メール送信プログラムのセキュリティについて。

昨夜、うちのメールフォームから10通連続で変な送信がありました。
遅れないはずの BCC やら CC に宛先を加えているのです。

ヤフってみたら同じようなのが数件出てきました。
CC:buletmann@aol.com
BCC:buletmann@aol.com

外部ﾘﾝｸ[com]:search.yahoo.co.jp

これは、スパムの中継にしようとしてるのでしょうか？

171: 170 2006/08/03(木)16:16 ID:R1Mf9tar(1) AAS
誰か教えて下さい。これは危険なんですか？
CGIのセキュリティホールを突かれてる？

172: 2006/08/03(木)22:31 ID:??? AAS
>>170
まずメールフォームに使ってるCGIとそのバージョンを書け。
世の中にメールフォームがどれだけあると思ってるんだ。

173: 2006/08/04(金)15:33 ID:??? AAS
そもそもそれは本当にメールフォームからなのか

174(1): 2006/08/07(月)16:33 ID:yYQHYFxU(1) AAS
サーバ上に置いたデータファイルを不特定の第三者に
閲覧されないようにするためにすべき常套手段ってどんなの？
「オレはこうやってる」というのでも良いので披露して下さい。

1.htaccessでCGI等からしかアクセスできないよう制限をかける。
2.拡張子をcgiにする（必要に応じてパーミッション変更）。
3.上記併用。
4.その他。

ちなみに、1と2だとどっちの方が強固？

175(2): 2006/08/07(月)18:19 ID:??? AAS
ドキュメントルートの上の階層に置く

176(1): 2006/08/07(月)19:31 ID:??? AAS
ディレクトリのパーミッションを700にするのもあり。
拡張子をcgiにするのは格好悪いからやめたほうがいいんじゃないかな。

多くのHTTPDでは.で始まるファイルはインデックスに表示されないし
標準的なApacheなら.htで始まるファイルは Deny from all なので
.htmydataみたいなファイル名にするのが俺的おすすめ。
でも他人の管理が前提なら必ず.で始まるファイルが作れないと言ってくるので
やめたほうがいいと思うけど。

177(1): 2006/08/07(月)20:35 ID:??? AAS
>>175か、別サーバのDBMSに突っ込む

拡張子を.cgiにするのはクズ

178(1): 174 2006/08/08(火)15:52 ID:x4/Y+pQ1(1) AAS
レスありがとうございます！
自分の知識の低さを露呈してしまって恥ずかしい限りです。

>>175
うぅむ、確かにそれが一番手っ取り早くて安全かも。

>>176
詳しいアドバイスどうもです！
レン鯖なんかだと無作法な覗き屋さんが居たりすることもあるっぽいので
拡張子をcgiにしとけばcsvやdatなんかよりは多少なりともカモフラージュになるかな、
という理由もあって、おまじないのような感じでcgiにしてる。
でも、やっぱカコ悪いよね・・・。
省13

179: 2006/08/08(火)23:18 ID:??? AAS
>>178
＞いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり？

それ以上。暗号化して格納してたりする。鯖ごと持ってかれても解読不能。

180: 2006/08/09(水)00:11 ID:??? AAS
拡張子cgiは格好悪くとも実用的で実際に効果がある方法だろ。
保険という意味でも悪くないと思うがな。
phpだと大規模なフレームワークやオープンソースプロジェクトも同じ対策取ってるし。

181: 2006/08/09(水)17:12 ID:??? AAS
そもそも拡張子cgiがなぜ格好悪いのか理解できないオレガイル。
既存のシステムだけでこと足りて、その利点をうまく流用した評価すべき例だと思うんだが。
無知なクライアントに対してはとりあえず使っとけ、みたいな感じはするけど、
そんなとこから「格好悪い」というイメージが出たのかな。

上下前次 1-新書関写板覧索設栞歴

あと 81 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.018s