セキュリティースレッド

セキュリティースレッド (262ﾚｽ)
上下前次 1-新

167: 2006/05/21(日)09:25 ID:??? AAS
>>166
大丈夫、俺もアホさ。

168: [age] 2006/05/23(火)22:37 ID:??? AAS
Fujitsu MyWeb Products SQL Injection Vulnerabilit
外部ﾘﾝｸ:secunia.com
CRITICAL: Moderately critical
SOLUTION: Contact the vendor for updated versions. 外部ﾘﾝｸ:www.myweb-jp.com

169: 2006/05/30(火)08:23 ID:??? AAS
hana=mogera

170(2): 2006/08/03(木)06:41 ID:HjJyuduF(1) AAS
メール送信プログラムのセキュリティについて。

昨夜、うちのメールフォームから10通連続で変な送信がありました。
遅れないはずの BCC やら CC に宛先を加えているのです。

ヤフってみたら同じようなのが数件出てきました。
CC:buletmann@aol.com
BCC:buletmann@aol.com

外部ﾘﾝｸ[com]:search.yahoo.co.jp

これは、スパムの中継にしようとしてるのでしょうか？

171: 170 2006/08/03(木)16:16 ID:R1Mf9tar(1) AAS
誰か教えて下さい。これは危険なんですか？
CGIのセキュリティホールを突かれてる？

172: 2006/08/03(木)22:31 ID:??? AAS
>>170
まずメールフォームに使ってるCGIとそのバージョンを書け。
世の中にメールフォームがどれだけあると思ってるんだ。

173: 2006/08/04(金)15:33 ID:??? AAS
そもそもそれは本当にメールフォームからなのか

174(1): 2006/08/07(月)16:33 ID:yYQHYFxU(1) AAS
サーバ上に置いたデータファイルを不特定の第三者に
閲覧されないようにするためにすべき常套手段ってどんなの？
「オレはこうやってる」というのでも良いので披露して下さい。

1.htaccessでCGI等からしかアクセスできないよう制限をかける。
2.拡張子をcgiにする（必要に応じてパーミッション変更）。
3.上記併用。
4.その他。

ちなみに、1と2だとどっちの方が強固？

175(2): 2006/08/07(月)18:19 ID:??? AAS
ドキュメントルートの上の階層に置く

176(1): 2006/08/07(月)19:31 ID:??? AAS
ディレクトリのパーミッションを700にするのもあり。
拡張子をcgiにするのは格好悪いからやめたほうがいいんじゃないかな。

多くのHTTPDでは.で始まるファイルはインデックスに表示されないし
標準的なApacheなら.htで始まるファイルは Deny from all なので
.htmydataみたいなファイル名にするのが俺的おすすめ。
でも他人の管理が前提なら必ず.で始まるファイルが作れないと言ってくるので
やめたほうがいいと思うけど。

177(1): 2006/08/07(月)20:35 ID:??? AAS
>>175か、別サーバのDBMSに突っ込む

拡張子を.cgiにするのはクズ

178(1): 174 2006/08/08(火)15:52 ID:x4/Y+pQ1(1) AAS
レスありがとうございます！
自分の知識の低さを露呈してしまって恥ずかしい限りです。

>>175
うぅむ、確かにそれが一番手っ取り早くて安全かも。

>>176
詳しいアドバイスどうもです！
レン鯖なんかだと無作法な覗き屋さんが居たりすることもあるっぽいので
拡張子をcgiにしとけばcsvやdatなんかよりは多少なりともカモフラージュになるかな、
という理由もあって、おまじないのような感じでcgiにしてる。
でも、やっぱカコ悪いよね・・・。
省13

179: 2006/08/08(火)23:18 ID:??? AAS
>>178
＞いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり？

それ以上。暗号化して格納してたりする。鯖ごと持ってかれても解読不能。

180: 2006/08/09(水)00:11 ID:??? AAS
拡張子cgiは格好悪くとも実用的で実際に効果がある方法だろ。
保険という意味でも悪くないと思うがな。
phpだと大規模なフレームワークやオープンソースプロジェクトも同じ対策取ってるし。

181: 2006/08/09(水)17:12 ID:??? AAS
そもそも拡張子cgiがなぜ格好悪いのか理解できないオレガイル。
既存のシステムだけでこと足りて、その利点をうまく流用した評価すべき例だと思うんだが。
無知なクライアントに対してはとりあえず使っとけ、みたいな感じはするけど、
そんなとこから「格好悪い」というイメージが出たのかな。

182: 2006/08/09(水)22:11 ID:??? AAS
セキュリティを考えた場合は、拡張子がなんであれ、
サーバのドキュメントルートの配下に、
不特定の第三者に、見られて困るような情報を、置くべきではないです。

183: 2006/08/09(水)22:20 ID:??? AAS
そうは言っても無料スペースはpublic_htmlだけだからなぁ。

上の例は極端ですが、前提条件を明確にせずに言い合いしても
意味ないですよ。セキュリティーは青天井ですから。

184: 2006/08/09(水)22:46 ID:??? AAS
仕様外の動作が偶々動いているだけだから。

cgiという拡張子で実行ビットが立っていないものは、そのまま
送信するという動作に、突然変えられたらどうする気だ?

185(2): 2006/08/11(金)22:16 ID:??? AAS
正攻法とか裏技とか原則とかそういう観念的なことは別にして、
実際のところドキュメントルート下に置いてある拡張子cgiのファイルを
悪意の第三者が見ることは可能なの？

186: 2006/08/11(金)23:10 ID:??? AAS
>>185
＞正攻法とか裏技とか原則とかそういう観念的なことは別にして

そこを別にされるとなんとも答えようが無いが、何も対策してなければ
覗き見自体はいくらでも可能。

上下前次 1-新書関写板覧索設栞歴

あと 76 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.023s