人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

apacheを立ててCGIを作っているのですが、外部からファイル内容を覗かれているようです。
windows vistaでほぼセキュリティは万全かと考えていたのですがなにか対策・良い設定はないものでしょうか。



●質問者: hanting_hawk
●カテゴリ:コンピュータ インターネット
✍キーワード:Apache CGI Windows Vista いもの セキュリティ
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● pahoo
●27ポイント

外部からファイル内容を覗かれているようです

それは、CGIのスクリプトを生のまま(実行されていない状態)を見られているということでしょうか。

であれば、Vista の設定ではなく、Apache の設定に問題があります。


また、CGI自身に脆弱な部分があり、DDosやクロスサイトスクリプティング攻撃を受けてソースを漏らしてしまっているとしたら、CGIソースを見ないと何とも言えません。


まず、最低限のセキュリティとして、httod.conf が下記のような設定になっているかどうか確認してください。

<Directory />
 Options FollowSymLinks
 AllowOverride None
 Order deny,allow
 Deny from all
</Directory>
◎質問者からの返答

回答ありがとうございます。これはcgiの実行フォルダに対してもこの設定でよろしいのでしょうか。


2 ● pahoo
●27ポイント

CGIフォルダに対しては、「Apache Tutorial: CGI による動的コンテンツ」が基本的な設定になります。

.htaccess で個別に設定していないことが大前提です。


3 ● taku_j_7
●26ポイント

前述の通り、Apacheの設定に問題がありますね。

CGIの内容が見えるということは、実行形式になっていないか、

ディレクトリの一覧が丸見えになってるということでしょうか。


Optionsの設定項目の意味合いを理解してから設定する必要があります。

(Indexes FollowSymLinks MultiViews ExecCGI Includesなど)

http://www.ss.iij4u.or.jp/~somali/web/server/httpdconf.html


LAN内での検証であれば問題はないのですが、

Webサーバの設定を理解しないまま、外部に公開するのは非常に危険です。


ちなみにApacheの場合は、.htaccessを使用してディレクトリごとの設定も可能であり、

httpd.confに全ての設定を記述しなくとも対応可能です。


CGIの実行フォルダの記述をhttpd.confに追加するのが面倒であれば、

.htaccessの中に対応する設定を書き込む事で対応できます。

http://www.ponko2.com/win_htaccess.html

http://www.animegif.net/tips/apache/htaccess-apache-win.html

http://httpd.apache.org/docs/2.2/ja/howto/htaccess.html


ただ、本番稼動では設定ファイルが分散してしまい、

一元管理が面倒になるのであまりオススメできません。

あくまで検証用とお考え下さい。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ