セキュリティースレッド (262レス)
上下前次1-新
41: 名無しさん@お腹いっぱい。 2001/08/25(土)09:17 ID:??? AAS
夏厨沸きまくりで2chも閉鎖らしいな
あーなむなむ
42: 名無しさん@お腹いっぱい。 01/08/29 05:27 ID:1UTTw6kk(1/3) AAS
ASPやPHP4はセッション管理が可能ですが、具体的にどのようにしているのでしょう?
Cookieを使ってるのは分かるのですが、自分のクッキーを発行されるたびに見ててもいまいち理解できないです。
知ってる人がいたら教えてください。
43: 名無しさん@お腹いっぱい。 01/08/29 05:37 ID:1UTTw6kk(2/3) AAS
すいません。
PHP4やASPは言語レベルでセッション管理の機能が提供されているのですね・・・。
Cookieとの関連が分からないのはあたりまえで、そもそも関連が無いんですね。
セッション管理のような概念の物をCで実装するにはどのような仕組みを実装すればいいのでしょうか?
ある程度セッションが正しく張れている保証が欲しいので単純なクッキーでは不安です。
良い方法は無いものでしょうか?
44: 名無しさん@お腹いっぱい。 01/08/29 06:17 ID:1UTTw6kk(3/3) AAS
外部リンク[cgi]:corn.2ch.net
があるけど解決して無いですね。
45(2): 名無しさん@お腹いっぱい。 01/08/30 23:22 ID:Nfn/L6PE(1) AAS
外部リンク:php.s3.to
書き換えられている模様
ムーノーっぽくなっちゃってます
46: 名無しさん@お腹いっぱい。 [0] 01/08/31 00:28 ID:ui51vdtk(1) AAS
>45
これだけやられているのに全然防備しようという意識がないみたいですね。
これほどセキュリティーに鈍感な管理人なのに掲示板でオンライン
予約システムの構築を依頼している人がいて藁った。
自作自演だろうか? こんな管理人が作った予約システムなんて
個人データの流出が頻繁にありそうで怖いぞ。
47: 名無しさん@お腹いっぱい。 01/08/31 01:27 ID:bQeiim3I(1) AAS
>>45
あー、見れなかった。今みたらいつものTOPだった。
前の書き換えは管理人のジサクジエンってBBSに
書いてあったけど、また自分でやってんのかな・・・?
それとも、マジハクされたのを言い訳してるだけ?
あのページ、管理人がよく分からん。
48: 名無しさん@お腹いっぱい。 01/08/31 02:10 ID:PZKcVyBA(1) AAS
最近見つけた面白い秘孔。
open(OUT,">./charalog/$in{'id'}.cgi");
で、北斗神拳スクリプト。
外部リンク:www8.tok2.com
49: 名無しさん@お腹いっぱい。 01/08/31 06:09 ID:xPEo4xH2(1/3) AAS
やっと気付いたみたいだな、、SSIもこええなー
50: と言うか・・・・ [0] 01/08/31 07:05 ID:.jMWjKYg(1) AAS
方法も論ぜずに、php.s3.to/は糞だの、スクリプトもやばいねだの
言うのはここが2chだからか?
それともスクリプトクレクレ君しか見てないのかこの板は・・・
こんなこと言うと降臨とか言われるんだよなー
いやちょっと気になったんでね 鯛は無いです
51(1): 名無しさん@お腹いっぱい。 01/08/31 11:03 ID:pfDOYTd.(1) AAS
ここで方法を論じたとしてその方法がここに書かれたら
どうなるか想像できない?
52: 名無しさん@お腹いっぱい。 01/08/31 11:11 ID:D5v3hjIY(1) AAS
php.s3.to管理人現る。
53(1): と言うか・・・・ 01/08/31 14:48 ID:xPEo4xH2(2/3) AAS
>>51
うん、まあ良く考えればそうよね。
ちょっとくらい漠然とした話でも出来ないかなと思ったからさ
でも上の方読んで分かったよ w
結局この板を読んでる人はまともな人が多そうだけど
書き込むの批判屋と厨房とクレクレ君が圧倒的に多いんだよね
しかしpass抜かれてるだろうに、余裕だね。。。
あ、もう辞めるっす (^^
54: と言うか・・・・ 01/08/31 14:52 ID:xPEo4xH2(3/3) AAS
オカマか漏れは。。。 =>そうだよね
55(1): 名無しさん@お腹いっぱい。 01/09/01 19:12 ID:O2LnlNbc(1/2) AAS
>53
>しかしpass抜かれてるだろうに、余裕だね。。。
これなんだけど、
外部リンク[php]:php.s3.to
このsource.phpのソース見てみると、(外部リンク[php]:php.s3.to)
> if (ereg("^[^\.]*(\.php3?|\.inc)$",$QUERY_STRING)) {
こんな感じで汚染チェックらしきことやってるんだけど、
先頭が "/"の場合を考えてないから、
絶対パス(/home/php/public_html/・・・)で指定すれば、
.phpであれば何でもソースが見れちゃうわけ。
省4
56: 55 01/09/01 19:15 ID:O2LnlNbc(2/2) AAS
追記。
外部リンク[php]:php.s3.to
みたいに、存在しないものを開こうとすると、、
エラーが出る(ってこのあたりもエラー処理やってないし、ダサいけど)
から、その中にフルパスが書かれてるし。
57: 名無しさん@お腹いっぱい。 01/09/01 19:51 ID:EyspkUdI(1/2) AAS
なんでそんな事を。。。
58: 名無しさん@お腹いっぱい。 01/09/01 19:58 ID:qTmlYOPM(1) AAS
こうして今日も名無しは人の為に無償で働くのであった。
59: 名無しさん@お腹いっぱい。 01/09/01 20:02 ID:EyspkUdI(2/2) AAS
一応メールにて報告しておきました。
60: 名無しさん@お腹いっぱい。 [0] 01/09/02 00:13 ID:EuE1F3p.(1/2) AAS
少し上の方でも書かれてますが、同じサーバーのユーザー(と思われる)
に困っています。初めは穴の有るスクリプトが原因と思われるファイルの
削除などの被害だったんですが、今はどうやらcgiでやられている様です
しょうも無い閑古鳥サイトなのに。。。。 (鬱
それで、自分なりに色々考えてリンクを貼って本体は別のディレクトリに
置いたり、普段はパミを落しておいて書き換え時だけchmodしたりして
みたんですが、決定的では無いです
て言うか人のスペースを変なファイルでパンパンにすんなーー!!
setuExecされて無いサーバーで、自分のファイルを守る手段は
無いでしょうか? 防御方法を話しませんか
省1
上下前次1-新書関写板覧索設栞歴
あと 202 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.027s