08/09/14 03:46:38 0
■ロリポマニュアル
URLリンク(lolipop.jp)
■700で良いファイル(安全)
・Perlなどで書かれたCGIスクリプト
※xx0にしなければ当然ながら漏れる。
■600で良いファイル(安全)
・CGIで使用しているデータファイルすべて
・CGIで使用しているライブラリ、モジュールなど
■700で良いディレクトリ(安全)
・CGIでのみ使用しているデータディレクトリ等
■705で良いディレクトリ(安全)
・自分のホームディレクトリ(ドキュメントルート)を含むすべてのディレクトリ
※ただしPHP経由で侵入される可能性があるので、701が良いかもしれない。
■701で良いディレクトリ(安全)
・自分のホームディレクトリ(ドキュメントルート)を含むすべてのディレクトリ
※サーバ内のホームディレクトリ一覧は、/etc/passwdを見れば馬鹿でも分かる。
※701ディレクトリ内はアクセス可能だが、ls,findなどで一覧の取得ができなく
なるため、ファイル名が漏れにくくなる(重要)
■644(xx4)が必要なファイル(漏れる)
・.htaccessおよび.htpasswdファイル
・PHPスクリプト
・PHPで使用しているデータファイルすべて
・PHPで使用しているライブラリ、モジュールなど
・SSI(shtml)ファイル
※xx4ファイルは、Apache(httpd)が直接アクセスするためxx4必須。
※ただしディレクトリが751,711ならファイル一覧が取られないからちょいマシ。