- ベストアンサー
侵入経路をCGIから防ぐには?
お世話になります。 CGIの設定の甘さから侵入されるときいたのですが、 フォームがあるHTMLからコマンドというか引数というか任意の文字列をうたれて侵入されるケースが多いのでしょうか? CGIを利用されて侵入されるケースというのは どういう風になっているのでしょうか? 教えて下さい。よろしくお願い致します。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
がるです。なるほど状況は…理解したのですが…実は「ここでは書ききれない」くらい沢山あるんですよ(苦笑 おっしゃってる<>のあたりは、XSS(クロスサイトスクリプティング)と呼称するのですが。 これ以外で「一躍有名人 ビッグスター」なあたりですとSQLインジェクションやパストラバーサル(ディレクトリとラバーサル)。 その他「クロスサイトリクエストフォージェリ」とか「総当り攻撃(ブルートフォース)系」とか「セッションハイジャック」その他諸々。 ただ、「ポート80しかあけないのでその周りのCGIのセキュリティについて勉強」であるのなら、いくつかお勧めの書籍はあるかもしれません。 オライリーさんの「入門 PHPセキュリティ」は、ソースコードはちょっと…な部分もあるのですが、基本的なセキュリティを学ぶ上では非常に良書です。 あとは「Webアプリセキュリティ対策入門」という、大垣さんという方が書かれた書籍が最近出たのですがこれも良書のようです(まだ目次くらいしかチェックしてないのですが)。 このあたりを読み込まれると、大分変わってくるかなぁと思います。
その他の回答 (1)
- galluda
- ベストアンサー率35% (440/1242)
がると申します。 まぁCGIのセキュリティホールによる進入とかその他諸々とかは多々あるのですが…ちょっとここでは書ききれないくらいに沢山あるってのが現状です(苦笑 質問者さんの立ち位置(CGIを作る側なのか設置する側なのか単純な興味なのか)がわかるともうちょっとなにかしら言えることもあるかなぁとおもいます。
お礼
がるさん、いつもお返事ありがとうございます。 例えば一番有名なやつでですね、< > このかっこなんですけど 無効化しますよね? セキュリティホールはapacheとperlのバージョンをあげるとして 他にどのような対策を打てばいいのかなと思ったんですけど お話をうかがうと、沢山あるんですね。おおまかな侵入経路の傾向みたいなものを教えて頂けると助かるのですが。 私は自宅サーバーを公開してCGIを作ったり、CGIを利用させていただこうと思っています。ポート80しかあけないのでその周りのCGIのセキュリティについて勉強しようとおもっている次第です。
お礼
重ね重ね、お返事ありがとうございます。 今まで僕のきいたことのないことばかりです。 セッションハイジャックとかかなり興味あります。 紹介して頂いた本、早速購入して読んでみます。 ありがとうございました。