セキュリティースレッド

セキュリティースレッド (262ﾚｽ)
上下前次 1-新

181: 2006/08/09(水)17:12 ID:??? AAS
そもそも拡張子cgiがなぜ格好悪いのか理解できないオレガイル。
既存のシステムだけでこと足りて、その利点をうまく流用した評価すべき例だと思うんだが。
無知なクライアントに対してはとりあえず使っとけ、みたいな感じはするけど、
そんなとこから「格好悪い」というイメージが出たのかな。

182: 2006/08/09(水)22:11 ID:??? AAS
セキュリティを考えた場合は、拡張子がなんであれ、
サーバのドキュメントルートの配下に、
不特定の第三者に、見られて困るような情報を、置くべきではないです。

183: 2006/08/09(水)22:20 ID:??? AAS
そうは言っても無料スペースはpublic_htmlだけだからなぁ。

上の例は極端ですが、前提条件を明確にせずに言い合いしても
意味ないですよ。セキュリティーは青天井ですから。

184: 2006/08/09(水)22:46 ID:??? AAS
仕様外の動作が偶々動いているだけだから。

cgiという拡張子で実行ビットが立っていないものは、そのまま
送信するという動作に、突然変えられたらどうする気だ?

185(2): 2006/08/11(金)22:16 ID:??? AAS
正攻法とか裏技とか原則とかそういう観念的なことは別にして、
実際のところドキュメントルート下に置いてある拡張子cgiのファイルを
悪意の第三者が見ることは可能なの？

186: 2006/08/11(金)23:10 ID:??? AAS
>>185
＞正攻法とか裏技とか原則とかそういう観念的なことは別にして

そこを別にされるとなんとも答えようが無いが、何も対策してなければ
覗き見自体はいくらでも可能。

187: 2006/08/12(土)00:37 ID:??? AAS
条件設定していない設問は無意味。

188: 2006/08/12(土)01:30 ID:??? AAS
あと、安全性の議論で言うところのリスクとハザードみたいな考え方も大事だな。

189: 2006/08/13(日)01:45 ID:??? AAS
議論のための議論になってるな。

190(2): 2006/08/13(日)16:33 ID:??? AAS
素人の見解であることをあらかじめ断っておきます。
間違いがあれば容赦なく訂正してください。

>>185
187の言う通り条件による。拡張子をcgiにする方法は、httpdが
1. cgiの拡張子がついたファイルを常にcgiとして実行しようとすること
2. 1で実行属性のない場合や実行するファイルとして不正な内容だった場合にエラーを返すこと
3. 2のエラー表示にファイルの内容が含まれないこと
という動作をする場合に限り有効。ファイルの存在そのものを隠すためには
4. 2のエラーは404を返す
こと。

191: 2006/08/13(日)16:42 ID:??? AAS
取りあえず404は違うだろ。

192: 2006/08/13(日)16:49 ID:??? AAS
>>190
4はないな。

193: 2006/08/14(月)09:07 ID:??? AAS
>>190
> 不正な内容だった場合にエラーを返すこと
不正な内容であることを確認するためには実行する必要があるが、
その結果エラーになることをhttpdは担保できない。

194: 2007/03/23(金)17:16 ID:??? AAS
PHPの投稿フォームで<a>タグ <img>タグとダブルクオートを許可したのですが、
セキュリティは、どんなところに気をつければいいでしょうか？

195: 2007/03/29(木)19:31 ID:??? AAS
全部NGにして
wiki風の言語を作る

196: 2007/04/25(水)23:19 ID:B1ZZgxV3(1) AAS
imgタグで画像ファイルでないものを画像ファイルの拡張子で指定した場合、
IE6馬鹿ブラウザは、HTMLファイルとしてレンダリングしてしまうので、
XSSなどの脆弱性が生じる。
つまり、投稿フォームを閲覧しただけで、何らかのスクリプトが発動可能になる。

<img>タグは、許可しない方がいい。

ダブルクォートは、実体化した方がいい。

197: 2007/04/28(土)01:19 ID:2O4EKOL8(1) AAS
*[日記]id:Hamachiya2さんのこと
WEB+DBプレスを見た。

はまちちゃんがデブサキモヲタでショック。
あのサスペンダーはありえないでしょう。

そりゃ「中学出たての未成年女子」だとは
思ってなかったけどさ。これはひどい。
いまどき吊りズボンかよっ。

198: 2007/05/18(金)17:52 ID:GL1hkE7j(1/2) AAS
すいません、何か最近サイトのindex.phpが勝手に書き換え
られるんですけど、これ何なのでしょう？　ページの最後に
見覚えのないJavaScriptのタグが埋め込まれています・・・。

<script language="JavaScript">e = '0x00' + '54';str1 = "%EF%B・・・

といった感じのやつです。
一つではなく、複数のサイトで被害にあっているんですが、これ
ってウイルス仕込まれているんでしょうか？

199: 2007/05/18(金)18:24 ID:??? AAS
そのコードをそのまんまヤフー検索したら、index.php開いて最後にあるやつ消せとか書いてるページがあった
外部ﾘﾝｸ[php]:www.rockettheme.com

200: 2007/05/18(金)18:33 ID:GL1hkE7j(2/2) AAS
スクリプト部分を抜き出してjs（WSH）化し、出力しようとしている文字列を抽出したら

外部ﾘﾝｸ:givecnt.info

というurlを隠しフレームで表示するコードでした・・・。

上下前次 1-新書関写板覧索設栞歴

あと 62 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.008s