セキュリティ

PHP ASP

未だにECサイトなどのセキュリティ関連ニュースを目にしますが、偶然なのかそれらのECサイトがASPで構築されています。

例えばナチュラムやアミューズなど。

単なる偶然だと思いたいのですが、ASPにはセキュリティホールを生みやすい脆弱性でもあるのでしょうか?

詳しい方の見解おねがいします。

あと、ヌルバイト攻撃についてお聞きします。最近、Cakeなどのフレームワークを多用しているアップが多いですが、基本的にドライバーであるindex.phpに引数を渡して該当するファイルを読み込んでいるんですよね?(間違っていたらごめんなさい)そうなると

include("../mod/".$_GET['action'].".php");

に成るのではないかと思うのですが、この際$_GET['action']を正規表現で値を確認するだけで十分なのでしょうか?
ヌルバイト攻撃はこの際無視して良いのでしょうか?

よくセキュリティ関連のサイトはSQLインジェクションやXSS、コマンドインジェクションなどを説明していますが、ヌルバイト攻撃に関してはそれほど記述されていません。これってヌルバイト攻撃はそれほど考慮しなくても良いという意味なのでしょうか?

回答の条件
  • 1人3回まで
  • 登録:2009/08/25 15:22:59
  • 終了:2009/08/30 11:32:58

回答(1件)

id:sabuibo No.1

sabuibo回答回数266ベストアンサー獲得回数202009/08/25 15:43:33

職業柄、ASPの方だけ回答します。(個人の見解です)

ASPやSaaSのプラットフォームは、大量のサーバーに複数の利用顧客がそれぞれにアプリケーションを実行しています。

当然、色々な業務がそれによって実行されるわけです。

インターネットシステムなので基本的には24時間稼動するのですが、それでも業務停止が行われる、

いわゆるメンテナンス時間というものがあり、それは業務ごとに違います。

ASPのアプリケーションが実行されている環境で、例えばセキュリティホールに対応するパッチがリリースされた場合、業務の都合でシステムが止められません。よって、パッチ適用が遅れますので、それだけセキュリティリスクが高まることになります。

id:esecua

ASPとはASP.NETの事です。

正しく言えばActive Server Pagesの事。

貴方の言うASPではありません。

2009/08/30 11:32:43

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません