人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

CakePHPの設置ディレクトリについて

CakePHPをレンタルサーバに設置する事を検討しています。そこで質問なのですが、

?http://www.cakephp.jp/doc/ch03s04.html?

こちらの「開発用セットアップ」は安全ではないので公開目的では避けるべきと書かれていますが、具体的にどのような危険性があるのでしょうか。実際に想定される攻撃の手順を含めて、教えていただけるとありがたいのですが。

というのも、例えばWordPressやXOOPSなど、PHPで書かれたWebアプリケーションには、アドミン権限のスクリプトも公開ディレクトリに丸ごと放り込んで使うものが多いように思うのですが、特に危険性は指摘されていないように感じられるからです。

CakePHPを公開ディレクトリに丸ごとセットアップしてしまった場合、どれくらい危険なのか、具体的にどんな攻撃手法が考えられるかをお教えください。よろしくお願いいたします。

●質問者: mine-D
●カテゴリ:ウェブ制作
✍キーワード:CakePHP PHP Web wordpress XOOPS
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● etupirka_hakase
●60ポイント

例えばWordPressやXOOPSなど、PHPで書かれたWebアプリケーションには、アドミン権限のスクリプトも公開ディレクトリに丸ごと放り込んで使うものが多いように思うのですが、特に危険性は指摘されていないように感じられるからです。

それは大いなる誤解です。

XOOPSモジュールでは、classのファイル群などに、ディレクトリごと.htaccessなどでアクセス制限をとっているものが多くありますし、最近ではそういったファイルについてはドキュメントルート外にすべて設置し、public_html側にはラッパーのみを置くようにしたXOOPSモジュールが多数開発されています。

そういった対策をとられていないものでも、意図しないアクセスをされないよう、対策が施されています。



さて、されらのファイルを誰にでもアクセスが可能な位置に配置することにより、不都合が起こるとしたら、それらのほとんどは「意図しないアクセス」によるものでしょう。

本来であれば、メインのスクリプトからincludeするためだけのファイルに直接GETのクエリーを送り込み、開発者のサニタイジング忘れなどの盲点をつく。

SQLを利用するプログラムなら、サニタイジンズ忘れをつき、MySQLの権限を奪うことも出来るかもしれないし、実行可能なcgiがアップロード出来ればapacheの権限まで奪われてしまうでしょう。


お使いになりたいものがどれほど優秀なスクリプトで、どのような対策が施されているのかわかりませんが、完璧に安全なものをつくるのは難しいから、とにかく安全に運用しようと考えるのは結構妥当な結論だと考えます。

◎質問者からの返答

すみません、XOOPSはあまり使い込んでいないので間違ったとらえ方をしていたかもしれません。ただWordPressに関してはすべてアドミン権限のスクリプトを公開ディレクトリにぶちこんでいるというのは間違いないところかと思います。いまのところその運用でセキュリティ上の重大な問題が起こったとは聞いていませんので、こうしたディレクトリ構成が可能なら、CakePHPでも公開ディレクトリに全部放り込んでしまうやり方はダメなのかなぁ…と思った次第なのです。

ですので、具体的に「こうこう手順でセキュリティ突破されてしまいますからキケンですよ」というのを、教えていただきたいと思ったんですね。CakePHPで。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ