CakePHPの設置ディレクトリについて


CakePHPをレンタルサーバに設置する事を検討しています。そこで質問なのですが、

http://www.cakephp.jp/doc/ch03s04.html

こちらの「開発用セットアップ」は安全ではないので公開目的では避けるべきと書かれていますが、具体的にどのような危険性があるのでしょうか。実際に想定される攻撃の手順を含めて、教えていただけるとありがたいのですが。

というのも、例えばWordPressやXOOPSなど、PHPで書かれたWebアプリケーションには、アドミン権限のスクリプトも公開ディレクトリに丸ごと放り込んで使うものが多いように思うのですが、特に危険性は指摘されていないように感じられるからです。

CakePHPを公開ディレクトリに丸ごとセットアップしてしまった場合、どれくらい危険なのか、具体的にどんな攻撃手法が考えられるかをお教えください。よろしくお願いいたします。

回答の条件
  • 1人2回まで
  • 登録:2007/11/22 20:05:49
  • 終了:2007/11/29 20:50:03

回答(1件)

id:etupirka_hakase No.1

etupirka_hakase回答回数2ベストアンサー獲得回数02007/11/23 01:07:56

ポイント60pt

例えばWordPressやXOOPSなど、PHPで書かれたWebアプリケーションには、アドミン権限のスクリプトも公開ディレクトリに丸ごと放り込んで使うものが多いように思うのですが、特に危険性は指摘されていないように感じられるからです。

それは大いなる誤解です。

XOOPSモジュールでは、classのファイル群などに、ディレクトリごと.htaccessなどでアクセス制限をとっているものが多くありますし、最近ではそういったファイルについてはドキュメントルート外にすべて設置し、public_html側にはラッパーのみを置くようにしたXOOPSモジュールが多数開発されています。

そういった対策をとられていないものでも、意図しないアクセスをされないよう、対策が施されています。



さて、されらのファイルを誰にでもアクセスが可能な位置に配置することにより、不都合が起こるとしたら、それらのほとんどは「意図しないアクセス」によるものでしょう。

本来であれば、メインのスクリプトからincludeするためだけのファイルに直接GETのクエリーを送り込み、開発者のサニタイジング忘れなどの盲点をつく。

SQLを利用するプログラムなら、サニタイジンズ忘れをつき、MySQLの権限を奪うことも出来るかもしれないし、実行可能なcgiがアップロード出来ればapacheの権限まで奪われてしまうでしょう。


お使いになりたいものがどれほど優秀なスクリプトで、どのような対策が施されているのかわかりませんが、完璧に安全なものをつくるのは難しいから、とにかく安全に運用しようと考えるのは結構妥当な結論だと考えます。

id:mine-D

すみません、XOOPSはあまり使い込んでいないので間違ったとらえ方をしていたかもしれません。ただWordPressに関してはすべてアドミン権限のスクリプトを公開ディレクトリにぶちこんでいるというのは間違いないところかと思います。いまのところその運用でセキュリティ上の重大な問題が起こったとは聞いていませんので、こうしたディレクトリ構成が可能なら、CakePHPでも公開ディレクトリに全部放り込んでしまうやり方はダメなのかなぁ…と思った次第なのです。

ですので、具体的に「こうこう手順でセキュリティ突破されてしまいますからキケンですよ」というのを、教えていただきたいと思ったんですね。CakePHPで。

2007/11/28 00:26:51

コメントはまだありません

この質問への反応(ブックマークコメント)

トラックバック

  • TAISHIの日記 2007-11-26 13:55:29
    スラッシュドット ジャパン (11-26 07:45) [mhatta] [ruby] Rubyの世界的人気度、TIOBE 9位に上昇 http://www.pheedo.jp/click.phdo?i=4452f2c5000e4c370a2864259d476089 All About[オールアバウト] (11-26 00:00) [リーブ21] 朝起き
「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません