セキュリティースレッド (262レス)
1-
187: 2006/08/12(土)00:37 ID:??? AAS
条件設定していない設問は無意味。
188: 2006/08/12(土)01:30 ID:??? AAS
あと、安全性の議論で言うところのリスクとハザードみたいな考え方も大事だな。
189: 2006/08/13(日)01:45 ID:??? AAS
議論のための議論になってるな。
190(2): 2006/08/13(日)16:33 ID:??? AAS
素人の見解であることをあらかじめ断っておきます。
間違いがあれば容赦なく訂正してください。

>>185
187の言う通り条件による。拡張子をcgiにする方法は、httpdが
1. cgiの拡張子がついたファイルを常にcgiとして実行しようとすること
2. 1で実行属性のない場合や実行するファイルとして不正な内容だった場合にエラーを返すこと
3. 2のエラー表示にファイルの内容が含まれないこと
という動作をする場合に限り有効。ファイルの存在そのものを隠すためには
4. 2のエラーは404を返す
こと。
191: 2006/08/13(日)16:42 ID:??? AAS
取りあえず404は違うだろ。
192: 2006/08/13(日)16:49 ID:??? AAS
>>190
4はないな。
193: 2006/08/14(月)09:07 ID:??? AAS
>>190
> 不正な内容だった場合にエラーを返すこと
不正な内容であることを確認するためには実行する必要があるが、
その結果エラーになることをhttpdは担保できない。
194: 2007/03/23(金)17:16 ID:??? AAS
PHPの投稿フォームで<a>タグ <img>タグと ダブルクオートを許可したのですが、
セキュリティは、どんなところに気をつければいいでしょうか?
195: 2007/03/29(木)19:31 ID:??? AAS
全部NGにして
wiki風の言語を作る
196: 2007/04/25(水)23:19 ID:B1ZZgxV3(1) AAS
imgタグで画像ファイルでないものを画像ファイルの拡張子で指定した場合、
IE6馬鹿ブラウザは、HTMLファイルとしてレンダリングしてしまうので、
XSSなどの脆弱性が生じる。
つまり、投稿フォームを閲覧しただけで、何らかのスクリプトが発動可能になる。

<img>タグは、許可しない方がいい。

ダブルクォートは、実体化した方がいい。
197: 2007/04/28(土)01:19 ID:2O4EKOL8(1) AAS
*[日記]id:Hamachiya2さんのこと
WEB+DBプレスを見た。

はまちちゃんがデブサキモヲタでショック。
あのサスペンダーはありえないでしょう。

そりゃ「中学出たての未成年女子」だとは
思ってなかったけどさ。これはひどい。
いまどき吊りズボンかよっ。
198: 2007/05/18(金)17:52 ID:GL1hkE7j(1/2) AAS
すいません、何か最近サイトのindex.phpが勝手に書き換え
られるんですけど、これ何なのでしょう? ページの最後に
見覚えのないJavaScriptのタグが埋め込まれています・・・。

<script language="JavaScript">e = '0x00' + '54';str1 = "%EF%B・・・

といった感じのやつです。
一つではなく、複数のサイトで被害にあっているんですが、これ
ってウイルス仕込まれているんでしょうか?
199: 2007/05/18(金)18:24 ID:??? AAS
そのコードをそのまんまヤフー検索したら、index.php開いて最後にあるやつ消せとか書いてるページがあった
外部リンク[php]:www.rockettheme.com
200: 2007/05/18(金)18:33 ID:GL1hkE7j(2/2) AAS
スクリプト部分を抜き出してjs(WSH)化し、出力しようとしている文字列を抽出したら

外部リンク:givecnt.info

というurlを隠しフレームで表示するコードでした・・・。
201: 2007/07/09(月)07:25 ID:L9K9FUBd(1) AAS
セッション管理不備のネットショップが多すぎます><
202: 2007/07/09(月)07:48 ID:??? AAS
どんな不備かkwsk
203: 2007/09/06(木)22:00 ID:OvtHfWTA(1) AAS
fusianasan
204(1): 2007/09/07(金)00:08 ID:??? AAS
数字のみの総当たり攻撃からパスワードを守るには…
0000232
というパスを文字列として認証すれば大丈夫ですかね?
205: 2007/09/07(金)05:42 ID:??? AAS
>>204
バカ発見
206: 2007/09/07(金)05:58 ID:??? AAS
釣り
1-
あと 56 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.016s