セキュリティースレッド

**名無しさん＠お腹いっぱい。** · 2001/07/13(金) 22:56

ウェブプログラミング関係のセキュリティー関連スレッド

http://www.japu.org/sa/
http://www.lac.co.jp/security/information/Cgisecurity/
http://www.w3.org/Security/faq/001031wwwsfj.ja.sjis.html
http://www.cert.org/tech_tips/cgi_metacharacters.html
http://www.w3.org/Security/

**ひろゆき** · 2001/07/13(金) 23:06

ﾆﾔﾘｯ

**age** · 2001/07/18(水) 20:49

セッション管理の脆弱性
http://www.japu.org/cgi/security/session_vulnerability.html

刑事告発 or 民事訴訟?
http://www.japu.org/sa/

**名無しさん＠お腹いっぱい。** · 2001/07/19(木) 09:03

http://www.small-j.com/small/

｜また、某ホームページで記載されている件ですが
｜「不正アクセス行為の禁止等に関する法律」
｜(2000/02/13施行)
｜の一部に該当するおそれがあると思われます。（不正アクセスを助長する行為）

わざわざ自分の馬鹿さ加減を世界に公開しなくてもいいのに。

**ななし** · 2001/07/19(木) 20:31

これはさらしageOK？

**名無しさん＠お腹いっぱい。** · 2001/07/19(木) 21:04

厨房がソフトウェアを公開
↓
ｾｷｭﾘﾃｨﾎｰﾙ満載
↓
指摘
↓
逆ギレ
↓
ﾈﾀ(ﾟдﾟ)ｳﾏｰ

**名無しさん＠お腹いっぱい。** · 2001/07/25(水) 10:48

終わったようだ・・・

**名無しさん＠お腹いっぱい。** · 2001/07/25(水) 11:15

サイト自体があぼーんされたようだけど
素直に受け入れていれば良いものを、

**名無しさん＠お腹いっぱい。** · 2001/07/25(水) 11:40

最高に・・・（・∀・）ｲｲ!!
http://kame.tadaima.com/2ch/

**加奈子** · 2001/07/25(水) 13:15

セキュリティは重要よねん♪夏休みであらしさん多いし～♪♪（はぁと）

**名無しさん＠お腹いっぱい。** · 2001/07/26(木) 23:39

C-BOARD配布停止してたのね
http://skully.lib.net/c-board.shtml

http://www.nk.rim.or.jp/~t_kimata/cgi/

**名無しさん＠お腹いっぱい。** · 2001/08/23(木) 02:41

ttp://php.s3.to/
What's NewでTHIS WEB SITE IS HACKED BY CHINESEと
出ているけど、マジかなぁ？

**名無しさん＠お腹いっぱい。** · 2001/08/23(木) 02:44

>>12
本当だとしても span が閉じてないのがへぼいな。

**名無しさん＠お腹いっぱい。** · 2001/08/23(木) 02:52

しかし、ウェブプログラミングほどセキュリティーホール作りやすい物もないのに、その意識が低いのは何故かね？
重要度が低い物ばっかだからかな？

**名無しさん＠お腹いっぱい。** · 2001/08/23(木) 03:26

ところで、モナーとギコはlinux板で使われてるから・・ゾヌか！

15 · 2001/08/23(木) 03:27

すみませぬ・・誤爆

2001/08/23(木) 05:26

うぅ... 原稿書いていたらこんな時間に。

他と比べてセキュリティに関して書かれていることが少ないし、そもそもCGIプログラマの平均レベルが低いからでは。(もちろん、すごい人も多いんだけど。) やっぱ地道に啓蒙していくしかないのかな。

----
WebProgとはちょっと外れるけど、こういうペーパー出てるので、読んでおくと良いかも。
Paper: HTML Form Protocol Attack
http://www.remote.org/jochen/sec/hfpa/

**名無しさん＠お腹いっぱい。** · 2001/08/23(木) 09:53

何これ?　こええなー、がんばって読んでみよう　　（悲
あんがと＞JAPUたん　　あゆ萌えはダメ！　:-）

**JAPU@じゃ、スクルド萌えってことで。B-)** · 2001/08/23(木) 20:36

簡単に言えば、悪意あるフォームから SMTP / NNTP / IRC などのテキストプロトコルに対して送信できちゃうってことです。
気をつけなくちゃいけないのは、サーバ・ブラウザの作者とユーザなんで、ちょっとWebProgとは外れちゃいますけどね。

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 02:10

>>12
BBSに管理人のコメントがあったけど、レベルの低さに閉口だな。
いくつかスクリプト配布してるみたいだけど、あれも全部ダメなんだろうな。

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 04:45

クッキーってクライアントが申告する物だから比較的簡単に自分で値を設定できると思うんですけど、この考えは間違ってますか？
それ自体セキュリティーホールには成り得ないけれども、CGI等で認証後IDをクッキーで引き回してるだけのところとかあるんで大丈夫か？と思いまして。

2001/08/24(金) 05:23

>>21
その考えて正しいです。
QUERY_STRING とか、クッキーの値はまず疑うことから始めなくちゃダメよん。いくらでも自由に設定出来ちゃうから。

21 · 2001/08/24(金) 06:05

>>22
ですよね。
ありがとうございます。うやむやが解消されました。
でも、やっぱ巷にあふれるCGIってセキュリティー甘いですね。
どもです。

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 06:25

>>20
俺も掲示板の管理人コメント見て藁った。
面倒くさかったら、GETメソッドはダメ、
POSTメソッドでもリンク元が自分のとこじゃ
ないとダメとか自分のIP以外はダメとか
何らかの手段があると思うんだけどね。

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 07:21

すいません。
>>POSTメソッドでもリンク元が自分のとこじゃないとダメ

これについて解決法が無くて困っています。
一般的にはHTTP_REFERERを見て自サイトかどうか確認しますよね？
でもHTTP_REFERERはクライアント申告だから偽れますよね？
なので困ってます。

昔はCookieで何とかなると思ってたんですけどクッキーもクライアント申告なんですよね。
REFERERとCOOKIEの実装で大概大丈夫だとは思いますが、中途半端な実装であることは間違いないですよね。

今まで中途半端な実装できたんですけど、解決策お持ちの方がいらっしゃったら教えてください。

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 17:56

>>20

今のページ、派手に書き換わってるな・・
保存しとこ。
ttp://php.s3.to/

なぜかShift-JIS。

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 18:02

>>25
いたずら「しにくく」することは出来るけどね。。

完全な実装は無理だと思う

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 18:41

>>26
俺も保存した。ここまで来ると完全な犯罪だね（ｗ

>>27
すっげー面倒くさいが、

ログイン→認証成功→認証成功したメールアドレス宛に
本ログイン用URLを送信→本ログイン→書き込み

最初のログイン時にIPとセッションIDを作成して保存して、
そのセッションIDを含めたURLで本ログイン。
もちろん、最初のログイン時と本ログイン時のIPが
同一であるかどうかをチェック。

これでどうだろ？　俺はイヤだ・・・

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 20:43

毎回hiddenでランダムキー吐き出して認証するとか
ダサいなー。。　(-＿-

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 21:00

とりあえず、あれだけ派手にやられたってことで
あのサイトの管理人のスクリプトは危険性大という
ことでよろしいのでしょうか？

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 21:18

しかし、サーバー管理者ももう少し頑張って欲しいと思うね
適当にApache走らせてcgiに馬鹿みたいな権限与えてるサーバーが
何と多い事か、、、
しかも金取って運営してる有料サーバーだと言うから呆れてしまう
そんなサーバーでは全ユーザーのファイルunlinkする事も簡単に
出来てしまうだろう。
そんな所は絶対使う気になれないよ

**名無しさん＠お腹いっぱい。** · 2001/08/24(金) 23:49

>>28, >>29
もうちょっとスマートで現実的な方法ないですかね？
あきらめてbasic認証するか。

あんなページ書き換えて、なんか楽しいんですかね？
踏み台用にこっそりアカ持っとくってならわかるんだけど・・・。
あそこを書き換えるのが最終目標ってのがなんか気まぐれ犯行ですね。
練習ってのが妥当な解釈でしょうか？

**名無しさん＠お腹いっぱい。** · 2001/08/25(土) 01:49

>>31
激同
あったかい管理人になると「ユーザー同士は信頼関係で成り立ってますから」
とか、ほんとポカポカしたメッセージをくれたりするんだが(俺が実際喰らった)
こう言う鯖にはこれまたほんわかしたユーザーがevalてんこ盛りの
ファイラー置いてたりして、後者の存在する確立は限りなく100%に近いんだよね
こうなるとベーシック認証も糞もあったもんじゃ無くてテスト以外には
とてもじゃないけど使う気にならない。
むしろCGI止めて欲しいよね。借りるの止めるけど　ｗ

**名無しさん＠お腹いっぱい。** · 2001/08/25(土) 01:57

今度は写真の色がちょっと変わったね。
自分のサイトに興味がないんだか・・・

33 · 2001/08/25(土) 02:03

因みに中華鯖でUNIX互換使ってる所は(何故かNTが多いのだが　ｗ)
***非常に***そう言う所が多いです。
なま温かい目で見守ってやりましょう

**名無しさん＠お腹いっぱい。** · 2001/08/25(土) 02:38

↑　　知ったかぶり厨房が居るね　　ﾌﾟﾌﾟﾌﾟ
お前が気にする程管理人は馬鹿じゃ無いから言ってみな
それとも薄っぺらい能書きがばれるのが嫌かい　　　pupu

33 · 2001/08/25(土) 02:57

ん? 俺の事を言ってるのかい
残念ながら、ケビンニトミックに憧れている若き戦士に捧げる
戦術は僕にはにゃぃ　ヽ(´ー｀)ノ

cgiのセキュリティーに付いて知りたいならJAPUさんのサイト(一番上を良く見てね　:－D　)
や他のコマンドや汚染チェックの方法なんかを調べてみれば良い
中華鯖と言ったのが解りにくなったなら、服務器、免費、空間、UNIX、(木富)案、上載
なんかのKEYで探してみるといい、彼等が色んなスクリプトを動かしてるのが解るだろう

実は俺も知ったかぶりしてるだけなんで、これ以上聞かないでくれ　（わ

33 · 2001/08/25(土) 03:01

s/ケビンニトミック/ケビンミトニック/; 寝よ、、

**名無しさん＠お腹いっぱい。** · 2001/08/25(土) 07:08

> ■ 2001/08/25(Sat) 05:25
> なんっつたりして。ﾈﾀです

そして苦しいｲｲﾜｹ

**名無しさん＠お腹いっぱい。** · 2001/08/25(土) 08:55

暑いねえ
まだセミが鳴いてるわ　　　(ﾜﾗ
後1週間　　か･･･

**名無しさん＠お腹いっぱい。** · 2001/08/25(土) 09:17

夏厨沸きまくりで2chも閉鎖らしいな
あーなむなむ

**名無しさん＠お腹いっぱい。** · 01/08/29 05:27

ASPやPHP4はセッション管理が可能ですが、具体的にどのようにしているのでしょう？
Cookieを使ってるのは分かるのですが、自分のクッキーを発行されるたびに見ててもいまいち理解できないです。

知ってる人がいたら教えてください。

**名無しさん＠お腹いっぱい。** · 01/08/29 05:37

すいません。
PHP4やASPは言語レベルでセッション管理の機能が提供されているのですね・・・。
Cookieとの関連が分からないのはあたりまえで、そもそも関連が無いんですね。

セッション管理のような概念の物をCで実装するにはどのような仕組みを実装すればいいのでしょうか？
ある程度セッションが正しく張れている保証が欲しいので単純なクッキーでは不安です。
良い方法は無いものでしょうか？

**名無しさん＠お腹いっぱい。** · 01/08/29 06:17

http://corn.2ch.net/test/read.cgi?bbs=php&key=990627898&ls=50
があるけど解決して無いですね。

**名無しさん＠お腹いっぱい。** · 01/08/30 23:22

ttp://php.s3.to/
書き換えられている模様
ムーノーっぽくなっちゃってます

**名無しさん＠お腹いっぱい。** · 01/08/31 00:28

>45
これだけやられているのに全然防備しようという意識がないみたいですね。

これほどセキュリティーに鈍感な管理人なのに掲示板でオンライン
予約システムの構築を依頼している人がいて藁った。
自作自演だろうか？　こんな管理人が作った予約システムなんて
個人データの流出が頻繁にありそうで怖いぞ。

**名無しさん＠お腹いっぱい。** · 01/08/31 01:27

>>45
あー、見れなかった。今みたらいつものTOPだった。
前の書き換えは管理人のｼﾞｻｸｼﾞｴﾝってBBSに
書いてあったけど、また自分でやってんのかな･･･？
それとも、マジハクされたのを言い訳してるだけ？
あのページ、管理人がよく分からん。

**名無しさん＠お腹いっぱい。** · 01/08/31 02:10

最近見つけた面白い秘孔。

　open(OUT,">./charalog/$in{'id'}.cgi");
で、北斗神拳スクリプト。
http://www8.tok2.com/home/onemu/

**名無しさん＠お腹いっぱい。** · 01/08/31 06:09

やっと気付いたみたいだな、、SSIもこええなー

**と言うか・・・・** · 01/08/31 07:05

方法も論ぜずに、php.s3.to/は糞だの、スクリプトもやばいねだの
言うのはここが2chだからか?
それともスクリプトクレクレ君しか見てないのかこの板は･･･
こんなこと言うと降臨とか言われるんだよなー
いやちょっと気になったんでね　鯛は無いです

**名無しさん＠お腹いっぱい。** · 01/08/31 11:03

ここで方法を論じたとしてその方法がここに書かれたら
どうなるか想像できない？

**名無しさん＠お腹いっぱい。** · 01/08/31 11:11

php.s3.to管理人現る。

**と言うか・・・・** · 01/08/31 14:48

>>51
うん、まあ良く考えればそうよね。
ちょっとくらい漠然とした話でも出来ないかなと思ったからさ
でも上の方読んで分かったよ　　ｗ
結局この板を読んでる人はまともな人が多そうだけど
書き込むの批判屋と厨房とクレクレ君が圧倒的に多いんだよね
しかしpass抜かれてるだろうに、余裕だね。。。
あ、もう辞めるっす　　（＾＾

**と言うか・・・・** · 01/08/31 14:52

オカマか漏れは。。。　=>そうだよね

**名無しさん＠お腹いっぱい。** · 01/09/01 19:12

>53
>しかしpass抜かれてるだろうに、余裕だね。。。
これなんだけど、
ttp://php.s3.to/simple/source.php
このsource.phpのソース見てみると、（ttp://php.s3.to/simple/source.php?source.php）

> if (ereg("^[^\.]*(\.php3?|\.inc)$",$QUERY_STRING)) {
こんな感じで汚染チェックらしきことやってるんだけど、
先頭が "/"の場合を考えてないから、
絶対パス（/home/php/public_html/・・・）で指定すれば、
.phpであれば何でもソースが見れちゃうわけ。
で、
ttp://php.s3.to/simple/source.php?/home/php/public_html/update.php
こんな感じで逝けば、ソースが・・・

なぜかパスワードは生だし。。

55 · 01/09/01 19:15

追記。
ttp://php.s3.to/simple/source.php?aaaa.php
みたいに、存在しないものを開こうとすると、、
エラーが出る（ってこのあたりもエラー処理やってないし、ダサいけど）
から、その中にフルパスが書かれてるし。

**名無しさん＠お腹いっぱい。** · 01/09/01 19:51

なんでそんな事を。。。

**名無しさん＠お腹いっぱい。** · 01/09/01 19:58

こうして今日も名無しは人の為に無償で働くのであった。

**名無しさん＠お腹いっぱい。** · 01/09/01 20:02

一応メールにて報告しておきました。

**名無しさん＠お腹いっぱい。** · 01/09/02 00:13

少し上の方でも書かれてますが、同じサーバーのユーザー(と思われる）
に困っています。初めは穴の有るスクリプトが原因と思われるファイルの
削除などの被害だったんですが、今はどうやらcgiでやられている様です
しょうも無い閑古鳥サイトなのに。。。。　(鬱

それで、自分なりに色々考えてリンクを貼って本体は別のディレクトリに
置いたり、普段はパミを落しておいて書き換え時だけchmodしたりして
みたんですが、決定的では無いです
て言うか人のスペースを変なファイルでパンパンにすんなーー！！

setuExecされて無いサーバーで、自分のファイルを守る手段は
無いでしょうか? 防御方法を話しませんか

あ、そのしょうも無いWEBは現在安全なサーバーに引っ越したです　＾＾

**名無しさん＠お腹いっぱい。** · 01/09/02 18:05

今読み返してみたけど、良く考えたらsuidされないって事は
誰のスクリプトで同じgid.uidで動いてる(httpとか?)んだから
無理に決まってますね、何をトチ狂った事言ってるんだろ。。

サーバー屋さんにもポリシーとか有ると思うんですけど、
suidしないでCGI走らせてるのは、何か意味があるのかな
一昔前はsuidする事で色々不具合が有ったとか聞きましたけど

**名無しさん＠お腹いっぱい。** · 01/09/03 13:04

上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール)
の管理方法は固そうじゃ無いですか?
入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key
＋環境変数色々で管理してる様です。よってクッキーも不要
昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から
このシステムでした。個人的にかなり信頼してるんですが

**名無しさん＠お腹いっぱい。** · 01/09/03 13:04

上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール)
の管理方法は固そうじゃ無いですか?
入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key
＋環境変数色々で管理してる様です。よってクッキーも不要
昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から
このシステムでした。個人的にかなり信頼してるんですが

**名無しさん＠お腹いっぱい。** · 01/10/07 17:57

perlCGIでセッション管理の良い方法は有りますか?
今は生パスをhiddenで吐いてるんですが、色々有って辞めたいんです

**名無しさん＠お腹いっぱい。** · 01/10/07 18:52

Apache::Session

**こんなのはどう?** · 01/10/08 01:17

nobodyな駄目鯖でもそこそこ安心になって欲しいと思って昔書いた
I/F的にどうしてもGETを使いたかったから。

パス合致でセッション開始→ランダムKEY作成(KEY1)→暗号化(CRYKEY1)
session.txtにCRYKEY1を保存、→session.txtのstat[8](KEY2)を取得→
これを暗号化(CRYKEY2)してクッキーに焼く
KEY1をGETで渡すパラメータに使う

後は全部合致ならOK、
クッキーに焼いた最終アクセス時が合致しなかったら(だれかがCGIで覗いたら)バイバイ
KEY1照合して駄目でもバイバイって感じ
更にExpireを短めにしたり、hostとかも記録してたなあ、、
勿論パケット拾われたら意味ないけど　ｗ

でもサーバー時計狂ってるって信じられない某無料鯖が
あったりで苦情殺到したんでムカついてGETで生パス垂れ流しに変更して配布辞めた　ｗ

01/10/08 01:52

そんな事より66よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。
昨日、鏡見たんです。鏡。
そしたらなんかめちゃくちゃ不細工な奴がっ映ってるんです。
で、よく見たら、いや、よく見なくても、それ俺なんです。
もうね、アホかと。馬鹿かと。
俺な、不細工にも程があるだろうが、ボケが。
超不細工だよ、超絶不細工。
なんか頭も薄くなってるし。デブ、ハゲ、オクメ、ニジュウアゴの４重苦か。死にて―よ。
子供が見たら泣き出すの。もう生きてらんない。
俺な、こりゃ人間の顔じゃねえぞ。猿だぞ。
顔ってのはな、もっと人間っぽくしてるべきなんだよ。
Ｕの字テーブルの向かいに座った奴がいつ気分悪くなってもおかしくない、
吐くか殴られるか、そんな顔じゃねーか俺は。女子供は、すっとんで逃げる。
で、やっと落ちついたかと思ったら、俺、鏡にむかって、ファイト、とか言ってるんです。
そこでまた自己嫌悪ですよ。
あのな、キャンディキャンディか俺は。ボケが。
二目と見られぬ顔して何が、ファイト、だ。
俺は本当に人間なのかと問いたい。問い詰めたい。小１時間問い詰めたい。
俺、進化の歴史から取り残されてるんちゃうんかと。
クロマニョン人の俺から言わせてもらえば今、俺の間での最新流行はやっぱり、
整形、これだね。
整形失敗ギョクサイ。これが俺の生きる道。
整形っては金がかかる。そん代わり成功率が少なめ。これ。
で、それに韓国エステ（ぼたくり）。これ最強。
しかしこれをやっちまうと人間でないことを完全に認めてしまう、諸刃の剣。
真人間にはお薦めできない。
まあお前ら真人間は、俺のぶんまで幸せになってくださいってこった。

**名無しさん＠お腹いっぱい。** · 01/10/09 22:42

adimage.dll
advert.dll
advpack.dll
amcis.dll
amcis2.dll
amcompat.tlb
amstream.dll
anadsc.ocx
anadscb.ocx
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll

ある安全保障局系のサイトにアクセスしてから、
不正アクセスが増えたのです。
変に思い調べたら、
こんなファイルを植え付けられました。
スパイウエアらしいのですがウイルスバスターは認識せず、
手動で削除しました。
CIA系のHPは危険みたいです。

**名無しさん＠お腹いっぱい。** · 01/10/09 23:04

>>67
ﾊﾞｸｼｮｳｼﾀ(w

**名無しさん＠お腹いっぱい。** · 01/10/14 19:20

PKIをやってる会社もこんなもんか。
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/10.html#20011009_baltimore

**JAPU** ◆JAPUTeX. · 01/10/19 14:46

/FYI/

PHP variables passed from the browser are stored in global context
http://www.kb.cert.org/vuls/id/847803

何でもデフォルトではURLで渡された値がグローバル変数に入る。
この動作を変更しておかないと外部から様々な操作される危険も伴う、諸刃の剣。
素人にはお薦め出来ない。

ってことで合ってる?

# メイドさんベストも買ってきたことだし、寝るー

**名無しさん＠お腹いっぱい。** · 01/10/19 15:37

ちゅうか、PHPってTaintチェックとかは無いの？

**名無しさん＠お腹いっぱい。** · 01/10/20 01:07

メイドさんベストって何だ～～～～～～～～～！？

**JAPU** ◆JAPUTeX. · 01/10/20 01:17

>>73
http://www.hobibox.co.jp/products/swaf/swaf_me/
しかしこれを買うと次から店員にマークされるという危険 (以下略)

**ちょっと遅いけど一応** · 01/11/21 02:57

ActivePerlにバッファオーバーフロー問題が発覚
http://slashdot.jp/article.pl?sid=01/11/20/0418200&mode=thread

**名無しさん＠お腹いっぱい。** · 01/12/13 23:03

これ、ここの人なら前から気付いてたんじゃない？
DLしちゃうんだよなぁ・・・・
http://slashdot.jp/article.pl?sid=01/12/12/229254&mode=thread

**名無しさん＠お腹いっぱい。** · 01/12/17 16:48

あほがpostバグ付いてるね　age

**名無しさん＠お腹いっぱい。** · 01/12/17 18:01

>77
裏2chの事？(笑
ちょっと見たけどスクリプト使ってるみたいだね。
取り合えずJavascript関連全てOFFを呼びかけるしか無いんじゃないかな
実際問題そろそろ2chにも認証コードが必要な段階だと思う。
IEにはもう一つこわ～～ぃ仕様が潜んでるからね(笑
こっちはセキュリティーレベル関係無いし・・・

**名無し** · 01/12/18 04:45

>>78
罠が起動するのはIEだけだよ。
NetscapeやOperaじゃJavaScriptのイベントが起動しないので
書き込まれない。ってこの部分はWeb制作板だーね。

**仕様書無しさん** · 01/12/18 06:16

>79　問題なのはIEだと静的なhtmlで同等の事が出来てしまう所だ
78もその辺りを言ってるんだと思う。
何時か来るとは思ってたが、こう言う事する奴はそのうち気が付いて
しまうからね。

**しぽなし～** · 01/12/18 07:40

IEのお節介機能（何でも補完何でも解釈）はもはや犯罪
でも一番使いやすいんだよなぁ。。。。

**名無しさん＠お腹いっぱい。** · 02/01/30 16:57

あげよう。

**名無しさん＠お腹いっぱい。** · 02/02/10 09:52

そうだね。

02/02/17 15:24

白痴西村読みなさい　D-Bornで攻撃してるのは私です
http://qb.2ch.net/test/read.cgi/accuse/1013447591/l50
＜アース神族軍メンバー一覧表＞
氏名　　　　　役職　　　　　　種族　　　　領地　　　　　神格　ＨＰ　メール　現住所　
Messiel　　リーダー　　　アース神族　　八畳程度　　　二　○　　○　　東京都府中市
ネオ麦茶　　エインフェリア　　人間　　実家に自室あり／　 ○　　／　　京都府医療少年院
むねお　　　エインフェリア　　人間　　　　不明　　　　　　／　 ○　　／　　　不明
神風　　　　エインフェリア　　人間　　　　不明　　　　　　／　　／　　○　　兵庫県神戸市
たかし　　　エインフェリア　　人間　　　　不明　　　　　　／　　／　　／　　大阪狭山市
テキーラ　　エインフェリア　　人間　　　　不明　　　　　　／　　／　　／　　　不明
佐々木　　　ヤクザ　　　　　　人間　　　　不明　　　　　　／　　／　　○　　　北朝鮮
木村　　　　ヤクザ　　　　　　人間　　　　不明　　　　　　／　　○　　／　　東京都荒川区東日暮里
(´ー｀)y－~~~トイレ掃除　　　人間　　　　不明　　　　　　／　　／　　／　　　不明
あひゃ　　　調理師　　　　　　人間　　　　不明　　　　　　／　　○　　○　　愛知県半田市

**名無しさん＠お腹いっぱい。** · 02/02/19 17:09

あ

げ。

**名無しさん＠お腹いっぱい。** · 02/02/19 19:22

人んちのプロクシ―を勝手に使うのって
なんかの法に抵触する行為？

**名無しさん＠お腹いっぱい。** · 02/02/19 19:27

>86
パスワードかかってたらね。

**名無しさん＠お腹いっぱい。** · 02/02/19 19:34

>>87
サンクス。つまりパス掛かってなければ合法と・・・φ(．．)ﾒﾓﾒﾓ
8080とか3128とかアリキターリなポート使ってるところは
バンバン使って良しですね！サンクス！

**名無しさん＠お腹いっぱい。** · 02/02/21 01:37

ジオシティーズが落ちているようですが、これは
だれかが攻撃したのでしょうか？

**名無しさん＠お腹いっぱい。** · 02/02/21 20:21

セッション管理が甘くて個人情報が漏れた？
http://pc.2ch.net/test/read.cgi/mobile/1012982631/n410-
かわいそうな山田くん…。

**名無しさん＠お腹いっぱい。** · 02/02/21 21:48

>>90
まあ、これは違法アクセスには該当しない好例だね。
ただのリンクだからな。

**串厨逝ってよし** ◆JAPUTeX. · 02/02/27 23:55

/FYI/

Multiple Remote Vulnerabilites within PHP's fileupload code
http://security.e-matters.de/advisories/012002.txt

◆JAPUTeX. · 02/03/01 00:47

みんなセキュリティには興味無いのかなぁ。

ちょっと古いけど BUGTRAQ より:
mod_ssl Buffer Overflow Condition
http://marc.theaimsgroup.com/?l=bugtraq&m=101484301309557

**ガイシュツかなぁ** · 02/03/03 20:41

フォームメールのスクリプトとかでさぁ、
sendmailの標準入力に、(submitするデー
タに改行を入れて)外部から宛先を仕込
めるスクリプトが結構あるような気がす
るんだけど、あれってスパムの送信に使
われたりしないのか？

**nobodyさん** · 02/03/03 20:44

>>94
そのスクリプトが世の中に出た頃からガイシュツです

94 · 02/03/03 20:49

>>95
うぇ、そうなんですか。
「これって大発見！」って思った
漏れは逝ってヨシだな。

**nobodyさん** · 02/03/04 11:06

http://www.ipa.go.jp/security/awareness/vendor/programming/index.html
結構役に立つと思う。

**nobodyさん** · 02/07/20 13:26

OfficeﾀﾝレッツPHPにキレてます。
http://www.office.ac/tearoom/noframe.cgi#No.962

**nobodyさん** · 02/07/22 13:08

メールフォーム１つ直せない総務省マンセー！
什器ネットマンセー！

**nobodyさん** · 02/07/22 13:38

>>98
レッツPHPが昔やったIP抜きには萎えた

**nobodyさん** · 02/07/23 03:02

http://online.securityfocus.com/archive/79/277154

ｼｮﾋﾟﾝｸﾞｶｰﾄのもろよわ性ｷﾀ━━━━━━━(゜∀゜)━━━━━━━!!
実はコマンドも飛ばせる様で大変な事になってまつ

**nobodyさん** · 02/07/23 03:38

>>101
半分以上化け化けで読めないのでなんとかしていただけませんか？

**nobodyさん** · 02/07/23 07:49

>>101
おまえ読めるのか。
化け化けで全然わかんねーよ。

**nobodyさん** · 02/07/23 10:12

禿げ同

**nobodyさん** · 02/07/23 10:45

PHP4.2.0,4.2.1にｾｷｭ穴見つかったらしいから
ｵﾏｴﾗとっとと4.2.2にあげませう.

**nobodyさん** · 02/07/23 15:06

>>103
ああーバカには読めないみたいだね

**nobodyさん** · 02/08/07 16:19

あげ

**nobodyさん** · 02/08/07 16:32

ちうか、レッツPHP,半角カタカナ使ってる時点でおわってないか？

**名無しさん＠Ｍｅａｄｏｗ** · 02/08/07 22:52

適切なcharsetを指定すれば、半カナを使ってもなんら問題ありません。

**nobodyさん** · 02/08/07 23:09

CGI program security advisories
http://ch2.s2.xrea.com/source/035.txt

**nobodyさん** · 02/08/20 14:44

----

**山崎渉** · 03/01/15 13:51

（＾＾）

**nobodyさん** · 03/01/29 18:20

>>108
なんでやねん？
別におかしくないと思うが？
半角カタカナコードをちゃんと持っているキャラクタエンコードで
ドキュメント書いてあるじゃん。
今時Shift_jisに対応できないブラウザも皆無だしね。
だから>>108はもちっと勉強してきなさい。

**nobodyさん** · 03/01/29 18:23

PHPのポートスキャナを自鯖に来た客人に使えるように
してあるのだが、まずいか？

**nobodyさん** · 03/01/29 21:37

メール送信プログラムを誰でも誰宛にも使えるように
してあるのだが、まずいか？

**nobodyさん** · 03/01/29 22:58

ＰＨＰ版探検君を誰でも使えるように
してあるのだが、まずいか？

**nobodyさん** · 03/02/25 20:10

この板にJAPUたんもういないのかな。

**山崎渉** · 03/03/13 17:23

（＾＾）

**山崎渉** · 03/04/17 12:22

（＾＾）

**山崎渉** · 03/04/20 06:12

　　 ∧＿∧
　　（　　＾＾）＜ぬるぽ（＾＾）

**山崎渉** · 03/05/22 02:14

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

**山崎渉** · 03/05/28 17:14

　　　　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾）＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉

**100** ◆at3WtOaT8I · 03/06/25 18:32

>>116
禿同

話変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)

　このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。

この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF７のように。

突然こんな事言い出してごめんなさい・・・

**山崎渉** · 03/07/15 11:20

　__∧＿∧_
　|（　　＾＾）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

**山崎渉** · 03/08/02 02:32

　　 ∧＿∧
　　（　　＾＾）＜ぬるぽ（＾＾）

**ぼるじょあ** ◆ySd1dMH5Gk · 03/08/02 05:09

　　　　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　・３・） (　　＾＾）＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

**nobodyさん** · 03/08/12 13:00

あああ

**nobodyさん** · 03/08/12 13:13

☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
★☆　夏休みは　ＧＥＴＤＶＤで　満喫・満喫！　　　
☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
☆★　送料激安！！　　送料激安！！　　送料激安！！
★☆　　　　　　http://www.get-dvd.com　　　　　　
☆★　　激安アダルトＤＶＤショップ　　　　　　　　
★☆　　　　お買い得！！　1枚500円～　急げ！　　　
☆★　　　　インターネット初！「きたぐに割引」　　
★☆　　　　北海道・東北の皆様は送料も激安！　　　
☆★　　　　　　http://www.get-dvd.com　　　　　　
★☆　　　　　　　　スピード発送！　　　　　　　　
☆★　　　　　　http://www.get-dvd.com　　　　　　
★☆　　　　　　　　商品が豊富！　　　　　　　　　
☆★　　　　　　http://www.get-dvd.com　　　　　　
★☆　　　　　　　　　　　　　　　　　　　　　　　
☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆

**nobodyさん** · 03/08/12 13:28

ああああああ

**nobodyさん** · 03/08/14 21:46

あ

**nobodyさん** · 03/08/14 21:46

あえ

**nobodyさん** · 03/08/14 21:46

あえｒ

**nobodyさん** · 03/08/14 21:46

あえｒｇ

**nobodyさん** · 03/08/14 21:46

あえｒｇｓ

**nobodyさん** · 03/08/14 21:47

あえｒｇｓｘ

**山崎渉** · 03/08/15 22:31

　　　 (⌒V⌒)
　　　│ ＾＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

**nobodyさん** · 04/03/23 22:44

自サイトのページに以下のように外部サイトのスクリプトを読み込んでアクセスログを取ってます。
<img src="http://www.hoge.com/fuga.php">
しかし、ブラウザのステータスバーの地球マークの左横に
赤い「セキュリティレポート」のマークが出てしまいます。
外部スクリプトの何が原因でこれが出るのでしょうか？
出さない方法を知りたいです。
外部スクリプトで行っているのは、閲覧者のIPアドレス、ユーザーエージェントを取得して、
DBに保存しているだけです。Cookieの取得はやっていません。

**nobodyさん** · 2005/08/09(火) 19:39:08

おい、おまいら。
今なら、はてなダイアリーにて、ウザいキーワードをこっそり削除できますよ？
----
naoya 『キーワード登録の際のPOSTの中身に、cnameとoldcnameというのがあって、
　これらが異なっていればカテゴリ移動と判断されて「change category to」扱いになります。
　つまり、もともと削除予定キーワードであっても、oldcmaneをウェブとかにして、
　cnameを削除予定にすれば、 change category to 削除予定キーワードが連続で
　記録されることになります。』 (2005-08-08 13:15:43)
naoya 『ということは逆に、削除予定にしたいけど編集者に通知メールを送りたくない、
　という場合には、oldcname，cnameをともに削除予定にしてしまえば
　（change category扱いにならないので）よいわけです。』 (2005-08-08 13:17:36)
----

**nobodyさん** · 2005/08/10(水) 03:44:35

>138
http://i.hatena.ne.jp/idea/4775

**nobodyさん** · 2005/10/29(土) 01:57:47

初歩的なことで申し訳ないですが
isapiフィルタを使って、もしくは何かしらのフィルタをかけて
querystringの特定文字列をreplaceする方法ってどうやりますか？
サニタイジングを一括で出来ればいいなと思ってまして。
またpostの場合も同様の処理は出来ますか？

**nobodyさん** · 2005/11/03(木) 00:32:17

PHPに深刻な脆弱性がある事が発表されました。今まで見つかったPHPの脆弱性の中でも「最悪」の脆弱性です。全てのPHPユーザは今すぐ対処を行う必要があります。

**nobodyさん** · 2005/11/04(金) 13:35:35

PHPに“最悪”のセキュリティ・ホール，全ユーザーは今すぐ対処を
http://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/

Fedora core3の場合はどうすればいいんだろう。
RPMがどこかで公開されているのだろうか、それとも自分でmakeとやらを
しなければいけないのだろうか。
自鯖ってこういう時に困る。

**nobodyさん** · 2005/11/04(金) 13:39:36

User-Agentをサニタイズしてないスクリプトが多すぎ

**nobodyさん** · 2005/11/04(金) 19:48:30

Cookieもね。

**nobodyさん** · 2005/11/05(土) 08:44:47

$HTTP_COOKIE_VARS = array_map('htmlspecialchars', $HTTP_COOKIE_VARS);
$_SERVER = array_map('htmlspecialchars', $_SERVER);

これでおｋ？

**nobodyさん** · 2005/11/05(土) 08:52:14

ありゃ、２行目でエラー出た。

User-Agentだけでも大丈夫かなあ。

**nobodyさん** · 2005/11/05(土) 09:40:45

>>146
$_SERVER['PHP_SELF'] はサニタイズ必要

**nobodyさん** · 2005/11/05(土) 11:44:15

>>145
$_SERVER使うなら$_COOKIEの方がいいんじゃない

**nobodyさん** · 2005/11/05(土) 11:46:22

$HTTP_COOKIE_VARS 使うなら $HTTP_SERVER_VARS 使え、と

**nobodyさん** · 2005/11/05(土) 17:49:34

htmlspecialcharsよりむしろコントロールコードのほうがヤバイんだけど・・・
改行、ヌル、タブが送られてきてもそのスクリプトは大丈夫かい？
HTTPヘッダが丸見えになったり、ブラウザが真っ白になったり、データファイルが破壊されたりしないかい？

**nobodyさん** · 2005/11/07(月) 12:46:07

俺はある共有レンタル鯖を借りてるんだが、

ttp://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/
上のソース付きで
PHPのセキュリティホールが見つかったのでバージョンを上げてくれって
メールを４日ほど前に送ったんだが、未だに返事が無い・・・
うかつにバージョン上げたら、既に動いているスクリプトに影響があるので
対応が難しいのは判るんだが、セキュリティホールに対して対応するのは鯖屋の
義務じゃないのだろうか？
サーバがダウンするようなスクリプト組めば、鯖屋も対応してくれるかな？

**nobodyさん** · 2005/11/07(月) 13:38:08

WADAXは問答無用でバージョンアップの連絡が来た。
ＥＣとかで不具合起こした会社とかってあるのかな。
こういうことがあると商用の共有サーバはリスキーだね。

**nobodyさん** · 2005/11/07(月) 15:18:16

つい最近まで、悪質なJavaスクリプトを作成して、個人を笑いものにしていたサイト
http://members.jcom.home.ne.jp/j-bridge/
http://j-bridge.da.tvdo.net/cam.htm

**151** · 2005/11/09(水) 13:23:07

PHPのメーリングリストに、本日付で大垣氏よりPHP4.4.0以下のセキュリティホールに
ついてのまとめが投稿されたようです。

ttp://ns1.php.gr.jp/pipermail/php-users/2005-November/027936.html

思ったよりたいした事無いのかな？
register_globals = offなら、問題ないということで。

**nobodyさん** · 2006/01/04(水) 23:40:24

なんて過疎スレなんだ。

ＰＨＰがいかにセキュリティ的にダメダメかを物語っているな。'

**nobodyさん** · 2006/01/05(木) 16:37:59

cookieを自動で[deleted]とかって書き換えるようなソフトってある？
漏れが発行したcookieが結構な確率でdeletedってなってるみたいなんだけど・・・

**nobodyさん** · 2006/01/09(月) 02:15:18

過疎スレだとセキュリティ的にダメな言語？？

**nobodyさん** · 2006/01/22(日) 15:58:21

>>157

1　PHP
2　Perl
3　C

**nobodyさん** · 2006/02/14(火) 03:26:25

色々読み漁ってみたり、人に話し聞いてみたりしたけど、
イマイチ自信が持てないセキュリティー

これを押さえとけってのがあるといいんだがなぁ

**nobodyさん** · 2006/03/03(金) 23:25:40

>>159
http://takagi-hiromitsu.jp/diary/20060129.html#p01

**nobodyさん** · 2006/03/28(火) 20:10:52

はてなAPIを調べていて、気になった事が。
認証時に送るデータのひとつに、PasswordDigest というものがあって、
「Nonce, Created, パスワード(はてなアカウントのパスワード)を文字列連結し
SHA1アルゴリズムでダイジェスト化して生成された文字列を、
Base64エンコードした文字列」という説明があります。
自分のパスワードに色々文字列をくっつけた、ハッシュ (ダイジェスト) 値って事ですよね。

という事は、正しいかチェックするには生パスワードが必要になるわけですよね。
つまり、はてなのサーバ側ではパスワードの管理を、ハッシュ値ではなくて、
元の文字列そのままデータベースに保存している、と。

話にならないセキュリティですね。
WEB2.0だアジャイルだと寝言ポエム唱える前に、基礎的な技術を習得すべきですよ。

**nobodyさん** · 2006/03/28(火) 23:09:15

コピペを得意に語るなよ

**nobodyさん** · 2006/04/09(日) 04:27:52

WEB2.0 = アジャイル = 寝言ポエム

**nobodyさん** · 2006/05/05(金) 04:48:24

上げるわよ

**nobodyさん** · 2006/05/05(金) 21:35:35

>>164
お前なんでこんな面白スレ、今まで隠してたんだよ。
>>161には大笑いさせてもらった。さすがwebprog板、香ばしさが一味違う。

**nobodyさん** · 2006/05/21(日) 06:36:50

>>161の件について回ってみたら、パスワードを使い回してる香具師は馬鹿だから何の問題もないとか、
費用対策効果を考えると順当だとか、問題視することかなぁ、とか書いてあるが、
問題なく出来ることをしないのは訳が分からない。
アホか？とか思うんだけど、俺がアホなんでしょうか。

**nobodyさん** · 2006/05/21(日) 09:25:22

>>166
大丈夫、俺もアホさ。

**nobodyさん** · 2006/05/23(火) 22:37:52

Fujitsu MyWeb Products SQL Injection Vulnerabilit
ttp://secunia.com/advisories/20178/
CRITICAL: Moderately critical
SOLUTION: Contact the vendor for updated versions. ttp://www.myweb-jp.com/resq/

**nobodyさん** · 2006/05/30(火) 08:23:54

hana=mogera

**nobodyさん** · 2006/08/03(木) 06:41:53

メール送信プログラムのセキュリティについて。

昨夜、うちのメールフォームから10通連続で変な送信がありました。
遅れないはずの BCC やら CC に宛先を加えているのです。

ヤフってみたら同じようなのが数件出てきました。
CC:buletmann@aol.com
BCC:buletmann@aol.com

ttp://search.yahoo.co.jp/search?p=buletmann@aol.com

これは、スパムの中継にしようとしてるのでしょうか？

**170** · 2006/08/03(木) 16:16:35

誰か教えて下さい。これは危険なんですか？
CGIのセキュリティホールを突かれてる？

**nobodyさん** · 2006/08/03(木) 22:31:38

>>170
まずメールフォームに使ってるCGIとそのバージョンを書け。
世の中にメールフォームがどれだけあると思ってるんだ。

**nobodyさん** · 2006/08/04(金) 15:33:16

そもそもそれは本当にメールフォームからなのか

**nobodyさん** · 2006/08/07(月) 16:33:42

サーバ上に置いたデータファイルを不特定の第三者に
閲覧されないようにするためにすべき常套手段ってどんなの？
「オレはこうやってる」というのでも良いので披露して下さい。

1.htaccessでCGI等からしかアクセスできないよう制限をかける。
2.拡張子をcgiにする（必要に応じてパーミッション変更）。
3.上記併用。
4.その他。

ちなみに、1と2だとどっちの方が強固？

**nobodyさん** · 2006/08/07(月) 18:19:46

ドキュメントルートの上の階層に置く

**nobodyさん** · 2006/08/07(月) 19:31:48

ディレクトリのパーミッションを700にするのもあり。
拡張子をcgiにするのは格好悪いからやめたほうがいいんじゃないかな。

多くのHTTPDでは.で始まるファイルはインデックスに表示されないし
標準的なApacheなら.htで始まるファイルは Deny from all なので
.htmydataみたいなファイル名にするのが俺的おすすめ。
でも他人の管理が前提なら必ず.で始まるファイルが作れないと言ってくるので
やめたほうがいいと思うけど。

**nobodyさん** · 2006/08/07(月) 20:35:39

>>175か、別サーバのDBMSに突っ込む

拡張子を.cgiにするのはクズ

**174** · 2006/08/08(火) 15:52:09

レスありがとうございます！
自分の知識の低さを露呈してしまって恥ずかしい限りです。

>>175
うぅむ、確かにそれが一番手っ取り早くて安全かも。

>>176
詳しいアドバイスどうもです！
レン鯖なんかだと無作法な覗き屋さんが居たりすることもあるっぽいので
拡張子をcgiにしとけばcsvやdatなんかよりは多少なりともカモフラージュになるかな、
という理由もあって、おまじないのような感じでcgiにしてる。
でも、やっぱカコ悪いよね・・・。

>.htmydataみたいなファイル名にするのが俺的おすすめ。
こんな発想微塵もなかった！すごい！
Windows環境で直接データファイルを扱うときのことや
レン鯖のことを考えると汎用性は若干落ちるけど、
現状では問題ないので、さっそくマネさせてもらいます。
でも、
>ディレクトリのパーミッションを700にするのもあり。
これが一番簡単な気がする・・・。けど磐石ではない？

>>177
>別サーバのDBMSに突っ込む
これだと、第三者はパスもほぼ推測不能だし最強だなぁ。
でも、セキュリティと手間とを天秤に掛けると個人的には気後れしちまう。
いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり？

**nobodyさん** · 2006/08/08(火) 23:18:27

>>178
＞いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり？

それ以上。暗号化して格納してたりする。鯖ごと持ってかれても解読不能。

**nobodyさん** · 2006/08/09(水) 00:11:30

拡張子cgiは格好悪くとも実用的で実際に効果がある方法だろ。
保険という意味でも悪くないと思うがな。
phpだと大規模なフレームワークやオープンソースプロジェクトも同じ対策取ってるし。

**nobodyさん** · 2006/08/09(水) 17:12:26

そもそも拡張子cgiがなぜ格好悪いのか理解できないオレガイル。
既存のシステムだけでこと足りて、その利点をうまく流用した評価すべき例だと思うんだが。
無知なクライアントに対してはとりあえず使っとけ、みたいな感じはするけど、
そんなとこから「格好悪い」というイメージが出たのかな。

**nobodyさん** · 2006/08/09(水) 22:11:43

セキュリティを考えた場合は、拡張子がなんであれ、
サーバのドキュメントルートの配下に、
不特定の第三者に、見られて困るような情報を、置くべきではないです。

**nobodyさん** · 2006/08/09(水) 22:20:21

そうは言っても無料スペースはpublic_htmlだけだからなぁ。

上の例は極端ですが、前提条件を明確にせずに言い合いしても
意味ないですよ。セキュリティーは青天井ですから。

**nobodyさん** · 2006/08/09(水) 22:46:28

仕様外の動作が偶々動いているだけだから。

cgiという拡張子で実行ビットが立っていないものは、そのまま
送信するという動作に、突然変えられたらどうする気だ?

**nobodyさん** · 2006/08/11(金) 22:16:49

正攻法とか裏技とか原則とかそういう観念的なことは別にして、
実際のところドキュメントルート下に置いてある拡張子cgiのファイルを
悪意の第三者が見ることは可能なの？

**nobodyさん** · 2006/08/11(金) 23:10:30

>>185
＞正攻法とか裏技とか原則とかそういう観念的なことは別にして

そこを別にされるとなんとも答えようが無いが、何も対策してなければ
覗き見自体はいくらでも可能。

**nobodyさん** · 2006/08/12(土) 00:37:16

条件設定していない設問は無意味。

**nobodyさん** · 2006/08/12(土) 01:30:13

あと、安全性の議論で言うところのリスクとハザードみたいな考え方も大事だな。

**nobodyさん** · 2006/08/13(日) 01:45:24

議論のための議論になってるな。

**nobodyさん** · 2006/08/13(日) 16:33:52

素人の見解であることをあらかじめ断っておきます。
間違いがあれば容赦なく訂正してください。

>>185
187の言う通り条件による。拡張子をcgiにする方法は、httpdが
1. cgiの拡張子がついたファイルを常にcgiとして実行しようとすること
2. 1で実行属性のない場合や実行するファイルとして不正な内容だった場合にエラーを返すこと
3. 2のエラー表示にファイルの内容が含まれないこと
という動作をする場合に限り有効。ファイルの存在そのものを隠すためには
4. 2のエラーは404を返す
こと。

**nobodyさん** · 2006/08/13(日) 16:42:20

取りあえず404は違うだろ。

**nobodyさん** · 2006/08/13(日) 16:49:50

>>190
4はないな。

**nobodyさん** · 2006/08/14(月) 09:07:30

>>190
> 不正な内容だった場合にエラーを返すこと
不正な内容であることを確認するためには実行する必要があるが、
その結果エラーになることをhttpdは担保できない。

**nobodyさん** · 2007/03/23(金) 17:16:32

PHPの投稿フォームで<a>タグ <img>タグとダブルクオートを許可したのですが、
セキュリティは、どんなところに気をつければいいでしょうか？

**nobodyさん** · 2007/03/29(木) 19:31:14

全部NGにして
wiki風の言語を作る

**nobodyさん** · 2007/04/25(水) 23:19:16

imgタグで画像ファイルでないものを画像ファイルの拡張子で指定した場合、
IE6馬鹿ブラウザは、HTMLファイルとしてレンダリングしてしまうので、
XSSなどの脆弱性が生じる。
つまり、投稿フォームを閲覧しただけで、何らかのスクリプトが発動可能になる。

<img>タグは、許可しない方がいい。

ダブルクォートは、実体化した方がいい。

**nobodyさん** · 2007/04/28(土) 01:19:52

*[日記]id:Hamachiya2さんのこと
WEB+DBプレスを見た。

はまちちゃんがデブサキモヲタでショック。
あのサスペンダーはありえないでしょう。

そりゃ「中学出たての未成年女子」だとは
思ってなかったけどさ。これはひどい。
いまどき吊りズボンかよっ。

**nobodyさん** · 2007/05/18(金) 17:52:29

すいません、何か最近サイトのindex.phpが勝手に書き換え
られるんですけど、これ何なのでしょう？　ページの最後に
見覚えのないJavaScriptのタグが埋め込まれています・・・。

<script language="JavaScript">e = '0x00' + '54';str1 = "%EF%B・・・

といった感じのやつです。
一つではなく、複数のサイトで被害にあっているんですが、これ
ってウイルス仕込まれているんでしょうか？

**nobodyさん** · 2007/05/18(金) 18:24:00

そのコードをそのまんまヤフー検索したら、index.php開いて最後にあるやつ消せとか書いてるページがあった
ttp://www.rockettheme.com/forum/index.php?topic=11361.msg56175

**nobodyさん** · 2007/05/18(金) 18:33:03

スクリプト部分を抜き出してjs（WSH）化し、出力しようとしている文字列を抽出したら

ttp://givecnt.info/ld/ment/

というurlを隠しフレームで表示するコードでした・・・。