セキュリティースレッド (262レス)
1-
64: 名無しさん@お腹いっぱい。 [0] 01/10/07 17:57 ID:??? AAS
perlCGIでセッション管理の良い方法は有りますか?
今は生パスをhiddenで吐いてるんですが、色々有って辞めたいんです
65: 名無しさん@お腹いっぱい。 01/10/07 18:52 ID:??? AAS
Apache::Session
66: こんなのはどう? [(・∀・)♪] 01/10/08 01:17 ID:??? AAS
nobodyな駄目鯖でもそこそこ安心になって欲しいと思って昔書いた
I/F的にどうしてもGETを使いたかったから。

パス合致でセッション開始→ランダムKEY作成(KEY1)→暗号化(CRYKEY1)
session.txtにCRYKEY1を保存、→session.txtのstat[8](KEY2)を取得→
これを暗号化(CRYKEY2)してクッキーに焼く
KEY1をGETで渡すパラメータに使う

後は全部合致ならOK、
クッキーに焼いた最終アクセス時が合致しなかったら(だれかがCGIで覗いたら)バイバイ
KEY1照合して駄目でもバイバイって感じ
更にExpireを短めにしたり、hostとかも記録してたなあ、、
勿論パケット拾われたら意味ないけど w

でもサーバー時計狂ってるって信じられない某無料鯖が
あったりで苦情殺到したんでムカついてGETで生パス垂れ流しに変更して配布辞めた w
67(1): [0] 01/10/08 01:52 ID:??? AAS
そんな事より66よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。
昨日、鏡見たんです。鏡。
そしたらなんかめちゃくちゃ不細工な奴がっ映ってるんです。
で、よく見たら、いや、よく見なくても、それ俺なんです。
もうね、アホかと。馬鹿かと。
俺な、不細工にも程があるだろうが、ボケが。
超不細工だよ、超絶不細工。
なんか頭も薄くなってるし。デブ、ハゲ、オクメ、ニジュウアゴの4重苦か。死にて―よ。
子供が見たら泣き出すの。もう生きてらんない。
俺な、こりゃ人間の顔じゃねえぞ。猿だぞ。
顔ってのはな、もっと人間っぽくしてるべきなんだよ。
Uの字テーブルの向かいに座った奴がいつ気分悪くなってもおかしくない、
吐くか殴られるか、そんな顔じゃねーか俺は。女子供は、すっとんで逃げる。
で、やっと落ちついたかと思ったら、俺、鏡にむかって、ファイト、とか言ってるんです。
そこでまた自己嫌悪ですよ。
あのな、キャンディキャンディか俺は。ボケが。
二目と見られぬ顔して何が、ファイト、だ。
俺は本当に人間なのかと問いたい。問い詰めたい。小1時間問い詰めたい。
俺、進化の歴史から取り残されてるんちゃうんかと。
クロマニョン人の俺から言わせてもらえば今、俺の間での最新流行はやっぱり、
整形、これだね。
整形失敗ギョクサイ。これが俺の生きる道。
整形っては金がかかる。そん代わり成功率が少なめ。これ。
で、それに韓国エステ(ぼたくり)。これ最強。
しかしこれをやっちまうと人間でないことを完全に認めてしまう、諸刃の剣。
真人間にはお薦めできない。
まあお前ら真人間は、俺のぶんまで幸せになってくださいってこった。
68: 名無しさん@お腹いっぱい。 01/10/09 22:42 ID:eV573JsY(1) AAS
adimage.dll
advert.dll
advpack.dll
amcis.dll
amcis2.dll
amcompat.tlb
amstream.dll
anadsc.ocx
anadscb.ocx
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll

ある安全保障局系のサイトにアクセスしてから、
不正アクセスが増えたのです。
変に思い調べたら、
こんなファイルを植え付けられました。
スパイウエアらしいのですがウイルスバスターは認識せず、
手動で削除しました。
CIA系のHPは危険みたいです。
69: 名無しさん@お腹いっぱい。 01/10/09 23:04 ID:??? AAS
>>67
バクショウシタ(w
70: 名無しさん@お腹いっぱい。 01/10/14 19:20 ID:G+Oqantk(1) AAS
PKIをやってる会社もこんなもんか。
外部リンク[html]:www.st.ryukoku.ac.jp
71: JAPU ◆JAPUTeX. [japu@REMOVE-THIS-PART.ansi.co.jp] 01/10/19 14:46 ID:??? AAS
/FYI/

PHP variables passed from the browser are stored in global context
外部リンク:www.kb.cert.org

何でもデフォルトではURLで渡された値がグローバル変数に入る。
この動作を変更しておかないと外部から様々な操作される危険も伴う、諸刃の剣。
素人にはお薦め出来ない。

ってことで合ってる?

# メイドさんベストも買ってきたことだし、寝るー
72: 名無しさん@お腹いっぱい。 01/10/19 15:37 ID:??? AAS
ちゅうか、PHPってTaintチェックとかは無いの?
73(1): 名無しさん@お腹いっぱい。 01/10/20 01:07 ID:??? AAS
メイドさんベストって何だ〜〜〜〜〜〜〜〜〜!?
74: JAPU ◆JAPUTeX. 01/10/20 01:17 ID:??? AAS
>>73
外部リンク:www.hobibox.co.jp
しかしこれを買うと次から店員にマークされるという危険 (以下略)
75: ちょっと遅いけど一応 01/11/21 02:57 ID:/hKlGx5U(1) AAS
ActivePerlにバッファオーバーフロー問題が発覚
外部リンク[pl]:slashdot.jp
76: 名無しさん@お腹いっぱい。 01/12/13 23:03 ID:zgPJrrI6(1) AAS
これ、ここの人なら前から気付いてたんじゃない?
DLしちゃうんだよなぁ・・・・
外部リンク[pl]:slashdot.jp
77(1): 名無しさん@お腹いっぱい。 [0] 01/12/17 16:48 ID:??? AAS
あほがpostバグ付いてるね age
78(1): 名無しさん@お腹いっぱい。 01/12/17 18:01 ID:??? AAS
>77
裏2chの事?(笑
ちょっと見たけどスクリプト使ってるみたいだね。
取り合えずJavascript関連全てOFFを呼びかけるしか無いんじゃないかな
実際問題そろそろ2chにも認証コードが必要な段階だと思う。
IEにはもう一つこわ〜〜ぃ仕様が潜んでるからね(笑
こっちはセキュリティーレベル関係無いし・・・
79(1): 名無し 01/12/18 04:45 ID:??? AAS
>>78
罠が起動するのはIEだけだよ。
NetscapeやOperaじゃJavaScriptのイベントが起動しないので
書き込まれない。ってこの部分はWeb制作板だーね。
80: 仕様書無しさん 01/12/18 06:16 ID:??? AAS
>79 問題なのはIEだと静的なhtmlで同等の事が出来てしまう所だ
78もその辺りを言ってるんだと思う。
何時か来るとは思ってたが、こう言う事する奴はそのうち気が付いて
しまうからね。
81: しぽなし〜 01/12/18 07:40 ID:??? AAS
IEのお節介機能(何でも補完何でも解釈)はもはや犯罪
でも一番使いやすいんだよなぁ。。。。
82: 名無しさん@お腹いっぱい。 [age] 02/01/30 16:57 ID:??? AAS
あげよう。
83: 名無しさん@お腹いっぱい。 [age] 02/02/10 09:52 ID:??? AAS
そうだね。
84: 02/02/17 15:24 ID:4sbq6zfT(1) AAS
AA省
85: 名無しさん@お腹いっぱい。 [age] 02/02/19 17:09 ID:??? AAS


げ。
86(1): 名無しさん@お腹いっぱい。 02/02/19 19:22 ID:KfIYHh+M(1/2) AAS
人んちのプロクシ―を勝手に使うのって
なんかの法に抵触する行為?
87(1): 名無しさん@お腹いっぱい。 [ ] 02/02/19 19:27 ID:??? AAS
>86
パスワードかかってたらね。
88: 名無しさん@お腹いっぱい。 02/02/19 19:34 ID:KfIYHh+M(2/2) AAS
>>87
サンクス。つまりパス掛かってなければ合法と・・・φ(..)メモメモ
8080とか3128とかアリキターリなポート使ってるところは
バンバン使って良しですね!サンクス!
89: 名無しさん@お腹いっぱい。 02/02/21 01:37 ID:Jl0qH0YL(1) AAS
ジオシティーズが落ちているようですが、これは
だれかが攻撃したのでしょうか?
90(1): 名無しさん@お腹いっぱい。 02/02/21 20:21 ID:??? AAS
セッション管理が甘くて個人情報が漏れた?
2chスレ:mobile
かわいそうな山田くん…。
91: 名無しさん@お腹いっぱい。 [age] 02/02/21 21:48 ID:??? AAS
>>90
まあ、これは違法アクセスには該当しない好例だね。
ただのリンクだからな。
92: 串厨逝ってよし ◆JAPUTeX. [japu] 02/02/27 23:55 ID:??? AAS
/FYI/

Multiple Remote Vulnerabilites within PHP's fileupload code
外部リンク[txt]:security.e-matters.de
93: ◆JAPUTeX. [japu] 02/03/01 00:47 ID:??? AAS
みんなセキュリティには興味無いのかなぁ。

ちょっと古いけど BUGTRAQ より:
mod_ssl Buffer Overflow Condition
外部リンク:marc.theaimsgroup.com
94(2): ガイシュツかなぁ [ ] 02/03/03 20:41 ID:??? AAS
フォームメールのスクリプトとかでさぁ、
sendmailの標準入力に、(submitするデー
タに改行を入れて)外部から宛先を仕込
めるスクリプトが結構あるような気がす
るんだけど、あれってスパムの送信に使
われたりしないのか?
95(1): [ ] 02/03/03 20:44 ID:??? AAS
>>94
そのスクリプトが世の中に出た頃からガイシュツです
96: 94 02/03/03 20:49 ID:??? AAS
>>95
うぇ、そうなんですか。
「これって大発見!」って思った
漏れは逝ってヨシだな。
97: 02/03/04 11:06 ID:??? AAS
外部リンク[html]:www.ipa.go.jp
結構役に立つと思う。
98(1): 02/07/20 13:26 ID:ttoiziGE(1) AAS
OfficeタンレッツPHPにキレてます。
外部リンク[cgi]:www.office.ac
99: [ ] 02/07/22 13:08 ID:??? AAS
メールフォーム1つ直せない総務省マンセー!
什器ネットマンセー!
100: 02/07/22 13:38 ID:anf0ZJkj(1) AAS
>>98
レッツPHPが昔やったIP抜きには萎えた
101(2): [キタ━━━━━━━(゜∀゜)━━━━━━━!!] 02/07/23 03:02 ID:??? AAS
外部リンク:online.securityfocus.com

ショピングカートのもろよわ性キタ━━━━━━━(゜∀゜)━━━━━━━!!
実はコマンドも飛ばせる様で大変な事になってまつ
102: 02/07/23 03:38 ID:n0NOCmVf(1) AAS
>>101
半分以上化け化けで読めないのでなんとかしていただけませんか?
103(1): 02/07/23 07:49 ID:??? AAS
>>101
おまえ読めるのか。
化け化けで全然わかんねーよ。
104: 02/07/23 10:12 ID:??? AAS
禿げ同
105: [age] 02/07/23 10:45 ID:??? AAS
PHP4.2.0,4.2.1にセキュ穴見つかったらしいから
オマエラとっとと4.2.2にあげませう.
106: 02/07/23 15:06 ID:??? AAS
>>103
ああーバカには読めないみたいだね
107: 02/08/07 16:19 ID:npc3aggE(1) AAS
あげ
108(1): 02/08/07 16:32 ID:j7/wvgk/(1) AAS
ちうか、レッツPHP,半角カタカナ使ってる時点でおわってないか?
109: 名無しさん@Meadow 02/08/07 22:52 ID:??? AAS
適切なcharsetを指定すれば、半カナを使ってもなんら問題ありません。
110: [age] 02/08/07 23:09 ID:??? AAS
CGI program security advisories
外部リンク[txt]:ch2.s2.xrea.com
111: 02/08/20 14:44 ID:??? AAS
----
112: 山崎渉 [(^^)sage] 03/01/15 13:51 ID:??? AAS
(^^)
113: [age] 03/01/29 18:20 ID:??? AAS
>>108
なんでやねん?
別におかしくないと思うが?
半角カタカナコードをちゃんと持っているキャラクタエンコードで
ドキュメント書いてあるじゃん。
今時Shift_jisに対応できないブラウザも皆無だしね。
だから>>108はもちっと勉強してきなさい。
114: 03/01/29 18:23 ID:??? AAS
PHPのポートスキャナを自鯖に来た客人に使えるように
してあるのだが、まずいか?
115: 03/01/29 21:37 ID:??? AAS
メール送信プログラムを誰でも誰宛にも使えるように
してあるのだが、まずいか?
116(1): 03/01/29 22:58 ID:??? AAS
PHP版探検君を誰でも使えるように
してあるのだが、まずいか?
117: 03/02/25 20:10 ID:??? AAS
この板にJAPUたんもういないのかな。
118: 山崎渉 [(^^)] 03/03/13 17:23 ID:??? AAS
(^^)
119: 山崎渉 [(^^)] 03/04/17 12:22 ID:??? AAS
(^^)
120(1): 山崎渉 [(^^)sage] 03/04/20 06:12 ID:??? AAS
   ∧_∧
  (  ^^ )< ぬるぽ(^^)
121: 山崎渉 [(^^)] 03/05/22 02:14 ID:??? AAS
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
122: 山崎渉 [(^^)] 03/05/28 17:14 ID:??? AAS
AA省
123: 100 ◆at3WtOaT8I 03/06/25 18:32 ID:??? AAS
>>116
禿同

話変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)

 このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。

この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。

突然こんな事言い出してごめんなさい・・・
124: 山崎 渉 [(^^)] 03/07/15 11:20 ID:??? AAS
AA省
125(1): 山崎 渉 [(^^)sage] 03/08/02 02:32 ID:??? AAS
   ∧_∧
  (  ^^ )< ぬるぽ(^^)
126: ぼるじょあ ◆ySd1dMH5Gk [(^^)] 03/08/02 05:09 ID:??? AAS
AA省
127: 03/08/12 13:00 ID:qodMea/v(1) AAS
あああ
128: 03/08/12 13:13 ID:4SueGnu3(1) AAS
AA省
129: [0] 03/08/12 13:28 ID:??? AAS
ああああああ
130: 03/08/14 21:46 ID:1oiwHjhP(1/6) AAS
131: 03/08/14 21:46 ID:1oiwHjhP(2/6) AAS
あえ
132: 03/08/14 21:46 ID:1oiwHjhP(3/6) AAS
あえr
133: 03/08/14 21:46 ID:1oiwHjhP(4/6) AAS
あえrg
134: 03/08/14 21:46 ID:1oiwHjhP(5/6) AAS
あえrgs
135: 03/08/14 21:47 ID:1oiwHjhP(6/6) AAS
あえrgsx
136: 山崎 渉 [(^^)] 03/08/15 22:31 ID:??? AAS
AA省
137: 04/03/23 22:44 ID:QuSZZVdw(1) AAS
自サイトのページに以下のように外部サイトのスクリプトを読み込んでアクセスログを取ってます。
<img src="外部リンク[php]:www.hoge.com">
しかし、ブラウザのステータスバーの地球マークの左横に
赤い「セキュリティレポート」のマークが出てしまいます。
外部スクリプトの何が原因でこれが出るのでしょうか?
出さない方法を知りたいです。
外部スクリプトで行っているのは、閲覧者のIPアドレス、ユーザーエージェントを取得して、
DBに保存しているだけです。Cookieの取得はやっていません。
138(1): 2005/08/09(火)19:39 ID:7ru0P+Yn(1) AAS
おい、おまいら。
今なら、はてなダイアリーにて、ウザいキーワードをこっそり削除できますよ?
----
naoya 『キーワード登録の際のPOSTの中身に、cnameとoldcnameというのがあって、
 これらが異なっていればカテゴリ移動と判断されて「change category to」扱いになります。
 つまり、もともと削除予定キーワードであっても、oldcmaneをウェブとかにして、
 cnameを削除予定にすれば、 change category to 削除予定キーワードが連続で
 記録されることになります。』 (2005-08-08 13:15:43)
naoya 『ということは逆に、削除予定にしたいけど編集者に通知メールを送りたくない、
 という場合には、oldcname,cnameをともに削除予定にしてしまえば
 (change category扱いにならないので)よいわけです。』 (2005-08-08 13:17:36)
----
139: 2005/08/10(水)03:44 ID:??? AAS
>138
外部リンク:i.hatena.ne.jp
140: 2005/10/29(土)01:57 ID:??? AAS
初歩的なことで申し訳ないですが
isapiフィルタを使って、もしくは何かしらのフィルタをかけて
querystringの特定文字列をreplaceする方法ってどうやりますか?
サニタイジングを一括で出来ればいいなと思ってまして。
またpostの場合も同様の処理は出来ますか?
141: 2005/11/03(木)00:32 ID:TOE31wc5(1) AAS
PHPに深刻な脆弱性がある事が発表されました。今まで見つかったPHPの脆弱性の中でも「最悪」の脆弱性です。全てのPHPユーザは今すぐ対処を行う必要があります。
142: 2005/11/04(金)13:35 ID:Q76NS+42(1) AAS
PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を
外部リンク:itpro.nikkeibp.co.jp

Fedora core3の場合はどうすればいいんだろう。
RPMがどこかで公開されているのだろうか、それとも自分でmakeとやらを
しなければいけないのだろうか。
自鯖ってこういう時に困る。
143: 2005/11/04(金)13:39 ID:8vYWqcZu(1) AAS
User-Agentをサニタイズしてないスクリプトが多すぎ
144: 2005/11/04(金)19:48 ID:??? AAS
Cookieもね。
145(1): 2005/11/05(土)08:44 ID:??? AAS
$HTTP_COOKIE_VARS = array_map('htmlspecialchars', $HTTP_COOKIE_VARS);
$_SERVER = array_map('htmlspecialchars', $_SERVER);

これでおk?
146(1): 2005/11/05(土)08:52 ID:??? AAS
ありゃ、2行目でエラー出た。

User-Agentだけでも大丈夫かなあ。
147: 2005/11/05(土)09:40 ID:??? AAS
>>146
$_SERVER['PHP_SELF'] はサニタイズ必要
148: 2005/11/05(土)11:44 ID:??? AAS
>>145
$_SERVER使うなら$_COOKIEの方がいいんじゃない
149: 2005/11/05(土)11:46 ID:??? AAS
$HTTP_COOKIE_VARS 使うなら $HTTP_SERVER_VARS 使え、と
150: 2005/11/05(土)17:49 ID:??? AAS
htmlspecialcharsよりむしろコントロールコードのほうがヤバイんだけど・・・
改行、ヌル、タブが送られてきてもそのスクリプトは大丈夫かい?
HTTPヘッダが丸見えになったり、ブラウザが真っ白になったり、データファイルが破壊されたりしないかい?
151(1): 2005/11/07(月)12:46 ID:X4GSH3T+(1) AAS
俺はある共有レンタル鯖を借りてるんだが、

外部リンク:itpro.nikkeibp.co.jp
上のソース付きで
PHPのセキュリティホールが見つかったのでバージョンを上げてくれって
メールを4日ほど前に送ったんだが、未だに返事が無い・・・
うかつにバージョン上げたら、既に動いているスクリプトに影響があるので
対応が難しいのは判るんだが、セキュリティホールに対して対応するのは鯖屋の
義務じゃないのだろうか?
サーバがダウンするようなスクリプト組めば、鯖屋も対応してくれるかな?
152: 2005/11/07(月)13:38 ID:??? AAS
WADAXは問答無用でバージョンアップの連絡が来た。
ECとかで不具合起こした会社とかってあるのかな。
こういうことがあると商用の共有サーバはリスキーだね。
153: 2005/11/07(月)15:18 ID:ST4RY6Ao(1) AAS
つい最近まで、悪質なJavaスクリプトを作成して、個人を笑いものにしていたサイト
外部リンク:members.jcom.home.ne.jp
外部リンク[htm]:j-bridge.da.tvdo.net
154: 151 2005/11/09(水)13:23 ID:??? AAS
PHPのメーリングリストに、本日付で大垣氏よりPHP4.4.0以下のセキュリティホールに
ついてのまとめが投稿されたようです。

外部リンク[html]:ns1.php.gr.jp

思ったよりたいした事無いのかな?
register_globals = offなら、問題ないということで。
155: ["'>aaa] 2006/01/04(水)23:40 ID:??? AAS
なんて過疎スレなんだ。

PHPがいかにセキュリティ的にダメダメかを物語っているな。'
156: 2006/01/05(木)16:37 ID:pttN5xUJ(1) AAS
cookieを自動で[deleted]とかって書き換えるようなソフトってある?
漏れが発行したcookieが結構な確率でdeletedってなってるみたいなんだけど・・・
157(1): 2006/01/09(月)02:15 ID:??? AAS
過疎スレだとセキュリティ的にダメな言語??
158: 2006/01/22(日)15:58 ID:WlGV7h6d(1) AAS
>>157

1 PHP
2 Perl
3 C
159(1): 2006/02/14(火)03:26 ID:??? AAS
色々読み漁ってみたり、人に話し聞いてみたりしたけど、
イマイチ自信が持てないセキュリティー

これを押さえとけってのがあるといいんだがなぁ
160: 2006/03/03(金)23:25 ID:R8+Du6gi(1) AAS
>>159
外部リンク[html]:takagi-hiromitsu.jp
161(2): 2006/03/28(火)20:10 ID:fZ61wIgX(1) AAS
はてなAPIを調べていて、気になった事が。
認証時に送るデータのひとつに、PasswordDigest というものがあって、
「Nonce, Created, パスワード(はてなアカウントのパスワード)を文字列連結し
SHA1アルゴリズムでダイジェスト化して生成された文字列を、
Base64エンコードした文字列」という説明があります。
自分のパスワードに色々文字列をくっつけた、ハッシュ (ダイジェスト) 値って事ですよね。

という事は、正しいかチェックするには生パスワードが必要になるわけですよね。
つまり、はてなのサーバ側ではパスワードの管理を、ハッシュ値ではなくて、
元の文字列そのままデータベースに保存している、と。

話にならないセキュリティですね。
WEB2.0だアジャイルだと寝言ポエム唱える前に、基礎的な技術を習得すべきですよ。
162: 2006/03/28(火)23:09 ID:??? AAS
コピペを得意に語るなよ
163: 2006/04/09(日)04:27 ID:??? AAS
WEB2.0 = アジャイル = 寝言ポエム
164(1): 2006/05/05(金)04:48 ID:0pIEn1FP(1) AAS
上げるわよ
165: 2006/05/05(金)21:35 ID:DVXSQw0s(1) AAS
>>164
お前なんでこんな面白スレ、今まで隠してたんだよ。
>>161には大笑いさせてもらった。さすがwebprog板、香ばしさが一味違う。
166(1): 2006/05/21(日)06:36 ID:??? AAS
>>161の件について回ってみたら、パスワードを使い回してる香具師は馬鹿だから何の問題もないとか、
費用対策効果を考えると順当だとか、問題視することかなぁ、とか書いてあるが、
問題なく出来ることをしないのは訳が分からない。
アホか?とか思うんだけど、俺がアホなんでしょうか。
167: 2006/05/21(日)09:25 ID:??? AAS
>>166
大丈夫、俺もアホさ。
168: [age] 2006/05/23(火)22:37 ID:??? AAS
Fujitsu MyWeb Products SQL Injection Vulnerabilit
外部リンク:secunia.com
CRITICAL: Moderately critical
SOLUTION: Contact the vendor for updated versions. 外部リンク:www.myweb-jp.com
169: 2006/05/30(火)08:23 ID:??? AAS
hana=mogera
170(2): 2006/08/03(木)06:41 ID:HjJyuduF(1) AAS
メール送信プログラムのセキュリティについて。

昨夜、うちのメールフォームから10通連続で変な送信がありました。
遅れないはずの BCC やら CC に宛先を加えているのです。

ヤフってみたら同じようなのが数件出てきました。
CC:buletmann@aol.com
BCC:buletmann@aol.com

外部リンク[com]:search.yahoo.co.jp

これは、スパムの中継にしようとしてるのでしょうか?
171: 170 2006/08/03(木)16:16 ID:R1Mf9tar(1) AAS
誰か教えて下さい。これは危険なんですか?
CGIのセキュリティホールを突かれてる?
172: 2006/08/03(木)22:31 ID:??? AAS
>>170
まずメールフォームに使ってるCGIとそのバージョンを書け。
世の中にメールフォームがどれだけあると思ってるんだ。
173: 2006/08/04(金)15:33 ID:??? AAS
そもそもそれは本当にメールフォームからなのか
174(1): 2006/08/07(月)16:33 ID:yYQHYFxU(1) AAS
サーバ上に置いたデータファイルを不特定の第三者に
閲覧されないようにするためにすべき常套手段ってどんなの?
「オレはこうやってる」というのでも良いので披露して下さい。

1.htaccessでCGI等からしかアクセスできないよう制限をかける。
2.拡張子をcgiにする(必要に応じてパーミッション変更)。
3.上記併用。
4.その他。

ちなみに、1と2だとどっちの方が強固?
175(2): 2006/08/07(月)18:19 ID:??? AAS
ドキュメントルートの上の階層に置く
176(1): 2006/08/07(月)19:31 ID:??? AAS
ディレクトリのパーミッションを700にするのもあり。
拡張子をcgiにするのは格好悪いからやめたほうがいいんじゃないかな。

多くのHTTPDでは.で始まるファイルはインデックスに表示されないし
標準的なApacheなら.htで始まるファイルは Deny from all なので
.htmydataみたいなファイル名にするのが俺的おすすめ。
でも他人の管理が前提なら必ず.で始まるファイルが作れないと言ってくるので
やめたほうがいいと思うけど。
177(1): 2006/08/07(月)20:35 ID:??? AAS
>>175か、別サーバのDBMSに突っ込む

拡張子を.cgiにするのはクズ
178(1): 174 2006/08/08(火)15:52 ID:x4/Y+pQ1(1) AAS
レスありがとうございます!
自分の知識の低さを露呈してしまって恥ずかしい限りです。

>>175
うぅむ、確かにそれが一番手っ取り早くて安全かも。

>>176
詳しいアドバイスどうもです!
レン鯖なんかだと無作法な覗き屋さんが居たりすることもあるっぽいので
拡張子をcgiにしとけばcsvやdatなんかよりは多少なりともカモフラージュになるかな、
という理由もあって、おまじないのような感じでcgiにしてる。
でも、やっぱカコ悪いよね・・・。

>.htmydataみたいなファイル名にするのが俺的おすすめ。
こんな発想微塵もなかった!すごい!
Windows環境で直接データファイルを扱うときのことや
レン鯖のことを考えると汎用性は若干落ちるけど、
現状では問題ないので、さっそくマネさせてもらいます。
でも、
>ディレクトリのパーミッションを700にするのもあり。
これが一番簡単な気がする・・・。けど磐石ではない?

>>177
>別サーバのDBMSに突っ込む
これだと、第三者はパスもほぼ推測不能だし最強だなぁ。
でも、セキュリティと手間とを天秤に掛けると個人的には気後れしちまう。
いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり?
179: 2006/08/08(火)23:18 ID:??? AAS
>>178
>いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり?

それ以上。暗号化して格納してたりする。鯖ごと持ってかれても解読不能。
180: 2006/08/09(水)00:11 ID:??? AAS
拡張子cgiは格好悪くとも実用的で実際に効果がある方法だろ。
保険という意味でも悪くないと思うがな。
phpだと大規模なフレームワークやオープンソースプロジェクトも同じ対策取ってるし。
181: 2006/08/09(水)17:12 ID:??? AAS
そもそも拡張子cgiがなぜ格好悪いのか理解できないオレガイル。
既存のシステムだけでこと足りて、その利点をうまく流用した評価すべき例だと思うんだが。
無知なクライアントに対してはとりあえず使っとけ、みたいな感じはするけど、
そんなとこから「格好悪い」というイメージが出たのかな。
182: 2006/08/09(水)22:11 ID:??? AAS
セキュリティを考えた場合は、拡張子がなんであれ、
サーバのドキュメントルートの配下に、
不特定の第三者に、見られて困るような情報を、置くべきではないです。
183: 2006/08/09(水)22:20 ID:??? AAS
そうは言っても無料スペースはpublic_htmlだけだからなぁ。

上の例は極端ですが、前提条件を明確にせずに言い合いしても
意味ないですよ。セキュリティーは青天井ですから。
184: 2006/08/09(水)22:46 ID:??? AAS
仕様外の動作が偶々動いているだけだから。

cgiという拡張子で実行ビットが立っていないものは、そのまま
送信するという動作に、突然変えられたらどうする気だ?
185(2): 2006/08/11(金)22:16 ID:??? AAS
正攻法とか裏技とか原則とかそういう観念的なことは別にして、
実際のところドキュメントルート下に置いてある拡張子cgiのファイルを
悪意の第三者が見ることは可能なの?
186: 2006/08/11(金)23:10 ID:??? AAS
>>185
>正攻法とか裏技とか原則とかそういう観念的なことは別にして

そこを別にされるとなんとも答えようが無いが、何も対策してなければ
覗き見自体はいくらでも可能。
187: 2006/08/12(土)00:37 ID:??? AAS
条件設定していない設問は無意味。
188: 2006/08/12(土)01:30 ID:??? AAS
あと、安全性の議論で言うところのリスクとハザードみたいな考え方も大事だな。
189: 2006/08/13(日)01:45 ID:??? AAS
議論のための議論になってるな。
190(2): 2006/08/13(日)16:33 ID:??? AAS
素人の見解であることをあらかじめ断っておきます。
間違いがあれば容赦なく訂正してください。

>>185
187の言う通り条件による。拡張子をcgiにする方法は、httpdが
1. cgiの拡張子がついたファイルを常にcgiとして実行しようとすること
2. 1で実行属性のない場合や実行するファイルとして不正な内容だった場合にエラーを返すこと
3. 2のエラー表示にファイルの内容が含まれないこと
という動作をする場合に限り有効。ファイルの存在そのものを隠すためには
4. 2のエラーは404を返す
こと。
1-
あと 72 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.023s