[南東からの]ロリポップ(lolipop)38[逆風に砂埃]at HOSTING[南東からの]ロリポップ(lolipop)38[逆風に砂埃] - 暇つぶし2ch■コピペモード□スレを通常表示□オプションモード□このスレッドのURL■項目テキスト56:名無しさん@お腹いっぱい。 08/09/14 03:43:24 0 前スレと本スレの流れから、まとめてみたよ >>357氏に添削をお願いしたく・・・・ 共有サーバにおいて、同じサーバ内に住んでいるユーザーであれば、裏から (HTTPを経由せず)アクセスすることでファイル一覧やファイルの内容を 読み取ることができる見ることが可能なセキュリティホールが存在している。 以下は個人で実施できる対策 57:名無しさん@お腹いっぱい。 08/09/14 03:45:09 0 日本語がおかしいorz ■ロリポップの問題 共有サーバにおいて、同じサーバ内に住んでいるユーザーであれば、 裏から(HTTPを経由せず)アクセスすることでファイル一覧やファイルの内容を 読み取ることができるセキュリティホールが存在している。 以下は個人で実施できる対策 58:名無しさん@お腹いっぱい。 08/09/14 03:46:38 0 ■ロリポマニュアル ttp://lolipop.jp/?mode=manual&state=hp&state2=permission ■700で良いファイル(安全) ・Perlなどで書かれたCGIスクリプト ※xx0にしなければ当然ながら漏れる。 ■600で良いファイル(安全) ・CGIで使用しているデータファイルすべて ・CGIで使用しているライブラリ、モジュールなど ■700で良いディレクトリ(安全) ・CGIでのみ使用しているデータディレクトリ等 ■705で良いディレクトリ(安全) ・自分のホームディレクトリ(ドキュメントルート)を含むすべてのディレクトリ ※ただしPHP経由で侵入される可能性があるので、701が良いかもしれない。 ■701で良いディレクトリ(安全) ・自分のホームディレクトリ(ドキュメントルート)を含むすべてのディレクトリ ※サーバ内のホームディレクトリ一覧は、/etc/passwdを見れば馬鹿でも分かる。 ※701ディレクトリ内はアクセス可能だが、ls,findなどで一覧の取得ができなく なるため、ファイル名が漏れにくくなる(重要) ■644(xx4)が必要なファイル(漏れる) ・.htaccessおよび.htpasswdファイル ・PHPスクリプト ・PHPで使用しているデータファイルすべて ・PHPで使用しているライブラリ、モジュールなど ・SSI(shtml)ファイル ※xx4ファイルは、Apache(httpd)が直接アクセスするためxx4必須。 ※ただしディレクトリが751,711ならファイル一覧が取られないからちょいマシ。 次ページ最新レス表示レスジャンプ類似スレ一覧スレッドの検索話題のニュースおまかせリストオプションしおりを挟むスレッドに書込スレッドの一覧暇つぶし2ch