CGIがダウンロードできるようになるページではなく、HTMLそのものがCGIの実行結果であるページです。
URLが、http://XXXXX.com/YYYY.cgi というようになっていて、アクセスするとHTMLページになっているという。
このページにアクセスして、普通にソースを見たら、CGIが吐き出したHTMLコードが表示されるので、CGIのソースコードは見れませんよね?
これを何か裏ワザとか、ツールを使って、CGIそのものをダウンロードしたり、CGIのソースコードを見たりすることはできるのでしょうか?
CGIの言語は、Perlです。
もしそういうことはできなくて安全なのだとしたら、そのことを説明しているサイトを紹介して下さい。
もしできるとしたら、実際にどういうやり方があるのか教えてください。
また、防御方法があるのであれば、教えてください。
よろしくお願いします。
パーミッションの設定を最低にしておきましょう。
606 604 705 etc..
ツールなどを使用してソースコードを見ることは上記の説明どおり不可能に近いですがサーバが著しく重い場合や障害が起きている時にアクセスすると未コンパイルのソースをダウンロードできてしまうことがまれにあります。
実際にmixiで以前頻繁に行われておりました。
私もダウンロードできてしまったことがあります。
大規模なプログラムを運用する場合は、民間の審査機関などがありますので利用するといでしょう。
通常の設定であれば無い。
ただし、その CGI 自身やほかの CGI 等にセキュリティーホールがある場合はその穴を付かれることはある。
やり方はこのあたりを参照。
ありがとうございます。
普通はだいじょうぶなんですね。
紹介してもらったサイトの説明は難しくてちゃんと理解できてませんが、
サーバーに不正侵入して、クラッカーのようなことをしない限りはだいじょうぶという
意味かなーととらえました。
けっこう安心できました。
万一のリスクを考え始めたらキリがありませんが、あまり心配し過ぎる必要はなさそうですね。
パーミッションの設定を最低にしておきましょう。
606 604 705 etc..
ツールなどを使用してソースコードを見ることは上記の説明どおり不可能に近いですがサーバが著しく重い場合や障害が起きている時にアクセスすると未コンパイルのソースをダウンロードできてしまうことがまれにあります。
実際にmixiで以前頻繁に行われておりました。
私もダウンロードできてしまったことがあります。
大規模なプログラムを運用する場合は、民間の審査機関などがありますので利用するといでしょう。
なるほど。。。たいへん参考になりました。
ありがとうございます!
なるほど。。。たいへん参考になりました。
ありがとうございます!