人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

自分のサイトで CGIのページを公開したら、ソースコードが見られてしまう危険はありますか?

CGIがダウンロードできるようになるページではなく、HTMLそのものがCGIの実行結果であるページです。
URLが、http://XXXXX.com/YYYY.cgi というようになっていて、アクセスするとHTMLページになっているという。

このページにアクセスして、普通にソースを見たら、CGIが吐き出したHTMLコードが表示されるので、CGIのソースコードは見れませんよね?
これを何か裏ワザとか、ツールを使って、CGIそのものをダウンロードしたり、CGIのソースコードを見たりすることはできるのでしょうか?
CGIの言語は、Perlです。

もしそういうことはできなくて安全なのだとしたら、そのことを説明しているサイトを紹介して下さい。
もしできるとしたら、実際にどういうやり方があるのか教えてください。
また、防御方法があるのであれば、教えてください。

よろしくお願いします。


●質問者: at_cafe
●カテゴリ:インターネット ウェブ制作
✍キーワード:CGI HTML Perl URL アクセス
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● b-wind
●70ポイント

通常の設定であれば無い。


ただし、その CGI 自身やほかの CGI 等にセキュリティーホールがある場合はその穴を付かれることはある。

やり方はこのあたりを参照。

@IT:Webアプリケーションに潜むセキュリティホール(13)

◎質問者からの返答

ありがとうございます。

普通はだいじょうぶなんですね。

紹介してもらったサイトの説明は難しくてちゃんと理解できてませんが、

サーバーに不正侵入して、クラッカーのようなことをしない限りはだいじょうぶという

意味かなーととらえました。

けっこう安心できました。

万一のリスクを考え始めたらキリがありませんが、あまり心配し過ぎる必要はなさそうですね。


2 ● koujirou
●70ポイント ベストアンサー

パーミッションの設定を最低にしておきましょう。

606 604 705 etc..

ツールなどを使用してソースコードを見ることは上記の説明どおり不可能に近いですがサーバが著しく重い場合や障害が起きている時にアクセスすると未コンパイルのソースをダウンロードできてしまうことがまれにあります。

実際にmixiで以前頻繁に行われておりました。

私もダウンロードできてしまったことがあります。

大規模なプログラムを運用する場合は、民間の審査機関などがありますので利用するといでしょう。

http://q.hatena.ne.jp/1198063904

◎質問者からの返答

なるほど。。。たいへん参考になりました。

ありがとうございます!

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ