CGIスクリプト上のセキュリティホール
しん
2000/02/21(月) 15:07:54
はじめまして。
最近、官公庁のホームページの改ざんが話題になり
ましたが、このことに関連して、教えてください。
現在、ホームページにアクセスカウンタを設置して
おります。
http://www.kent-web.com/count/index.html
の「日計カウンタ2」というスクリプトです。
(ほかのサイトのことで、すみません。)
このたび、サーバーの管理者から、CGIを使うの
は自由だが、セキュリティホールのないものを使う
ようにと指示がありました。
(ファイアウォール等のセキュリティは、サーバー
の管理者が対応するとのことです。)
私は、1ユーザーに過ぎないので、セキュリティホ
ールが何なのかも良くわかりません。
そこで、次の点について、ご存知の方がいらっしゃれば、
教えてください。
1.CGIプログラムを設置するディレクトリのパーミ
ッションを755又は705にして、ロックファイル
(シンボリックリンク関数)専用のディレクトリのみ
を777にしても、なおかつセキュリティホールが
問題となるのでしょうか。
2.仮に、CGIスクリプト上にセキュリティホールがあ
ったとして、ハッカーの侵入による損害を受ける可能
性があるディレクトリは、CGIを設置したディレク
トリ以下だけでしょうか。それとも、サーバー全体で
しょうか。
3.引数に引っ掛けていたずらできるが、CGIの機能の
範囲内であると聞いたことがあるのですが、これ以外
にも、いたずらする方法があるのでしょうか。
よろしくお願いします。
はじめまして。
最近、官公庁のホームページの改ざんが話題になり
ましたが、このことに関連して、教えてください。
現在、ホームページにアクセスカウンタを設置して
おります。
http://www.kent-web.com/count/index.html
の「日計カウンタ2」というスクリプトです。
(ほかのサイトのことで、すみません。)
このたび、サーバーの管理者から、CGIを使うの
は自由だが、セキュリティホールのないものを使う
ようにと指示がありました。
(ファイアウォール等のセキュリティは、サーバー
の管理者が対応するとのことです。)
私は、1ユーザーに過ぎないので、セキュリティホ
ールが何なのかも良くわかりません。
そこで、次の点について、ご存知の方がいらっしゃれば、
教えてください。
1.CGIプログラムを設置するディレクトリのパーミ
ッションを755又は705にして、ロックファイル
(シンボリックリンク関数)専用のディレクトリのみ
を777にしても、なおかつセキュリティホールが
問題となるのでしょうか。
2.仮に、CGIスクリプト上にセキュリティホールがあ
ったとして、ハッカーの侵入による損害を受ける可能
性があるディレクトリは、CGIを設置したディレク
トリ以下だけでしょうか。それとも、サーバー全体で
しょうか。
3.引数に引っ掛けていたずらできるが、CGIの機能の
範囲内であると聞いたことがあるのですが、これ以外
にも、いたずらする方法があるのでしょうか。
よろしくお願いします。
しん
2000/02/22(火) 13:34:04
[[解決]]
1 ある
2 サーバー全体
3 ある
らしいです。
ありがとうございました。
[[解決]]
1 ある
2 サーバー全体
3 ある
らしいです。
ありがとうございました。