人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

セキュリティ
PHP ASP

未だにECサイトなどのセキュリティ関連ニュースを目にしますが、偶然なのかそれらのECサイトがASPで構築されています。

例えばナチュラムやアミューズなど。

単なる偶然だと思いたいのですが、ASPにはセキュリティホールを生みやすい脆弱性でもあるのでしょうか?

詳しい方の見解おねがいします。

あと、ヌルバイト攻撃についてお聞きします。最近、Cakeなどのフレームワークを多用しているアップが多いですが、基本的にドライバーであるindex.phpに引数を渡して該当するファイルを読み込んでいるんですよね?(間違っていたらごめんなさい)そうなると

include("../mod/".$_GET['action'].".php");

に成るのではないかと思うのですが、この際$_GET['action']を正規表現で値を確認するだけで十分なのでしょうか?
ヌルバイト攻撃はこの際無視して良いのでしょうか?

よくセキュリティ関連のサイトはSQLインジェクションやXSS、コマンドインジェクションなどを説明していますが、ヌルバイト攻撃に関してはそれほど記述されていません。これってヌルバイト攻撃はそれほど考慮しなくても良いという意味なのでしょうか?

●質問者: esecua
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:ASP Cake ECサイト INDEX MOD
○ 状態 :キャンセル
└ 回答数 : 1/1件

▽最新の回答へ

1 ● sabuibo

職業柄、ASPの方だけ回答します。(個人の見解です)

ASPやSaaSのプラットフォームは、大量のサーバーに複数の利用顧客がそれぞれにアプリケーションを実行しています。

当然、色々な業務がそれによって実行されるわけです。

インターネットシステムなので基本的には24時間稼動するのですが、それでも業務停止が行われる、

いわゆるメンテナンス時間というものがあり、それは業務ごとに違います。

ASPのアプリケーションが実行されている環境で、例えばセキュリティホールに対応するパッチがリリースされた場合、業務の都合でシステムが止められません。よって、パッチ適用が遅れますので、それだけセキュリティリスクが高まることになります。

◎質問者からの返答

ASPとはASP.NETの事です。

正しく言えばActive Server Pagesの事。

貴方の言うASPではありません。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ