[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:40142] Re: CGI設置についてのご質問解決しま した。
In article <20040407230415.ABDD.YSATOH@xxxxxxxxxxxx> (at Thu, 8 Apr 2004 01:19:42 +0900), 佐藤 義博 <ysatoh@xxxxxxxxxxxx> says:
> > > |入口の index.html なり、index.cgi、index.php なりから
> > > |のみ呼出先の cgi が実行できるような仕様になっていないと
> > > |いけないと思います。
> > >
> > > は、具体的にはどういう仕様でしょう?
> (…略…)
> > そのくらいのことが分からないのなら、突っ込まないように。
> ※「入口の index.html なり、index.cgi、index.php なりからの
> み呼出先の cgi が実行できるような仕様」を「入り口チェック」
> と定義させていただきます。
「入口の index.html なり、index.cgi、index.php なりからのみ
呼出先の cgi が実行」は、index.html や index.cgi, index.php 「が」
例えばSSI(<!--#exec cgi="/path/to/cgi" -->)を用いてでCGIを呼び出すように
とれるので、適切ではありません。
HTMLやCGIやPHPでなく、UAが呼び出すのであれば、せめて、
「入口の index.html なり、index.cgi、index.php なりへのアクセスを
経由したリクエストのみ CGI を実行」としなければならないです。
ただ、これでも、実装する上では、その"経由"の定義が曖昧です。
まぁ、Refererや"Session ID"(一時的な(一般な意味での)"クッキー")を使う、
というのも割とすぐに思いつくことではあるでしょうが、
("脆弱性"の意味するところが明らかではないので、)
その"経由"の定義が適切なのか不明です。
("脆弱性"の意味するところが明らかでないので、)
チェックのために「CGI」を"実行"することはいいのか悪いのかも不明ですし。
ま、個人的には、そんな脆弱性は存在しないか、あるいは問題にすべき脆弱性は
別だと思うので、結果、解決策も違うはずだと思いますけれど。
--yoshfuji