今日も引き続きセキュリティの課題を行いました。
今日はインクルード攻撃、パスディスクロージャ、コマンド実行攻撃について勉強しました。
インクルード攻撃はallow_url_includeがoffになっているため、リモートファイルインクルード攻撃は出来ないようになっていました。
パスディスクロージャはわざとエラーを起こさせることでフルパスなどを漏洩させるものです。
対策方法としてはエラーを画面に出力せず、ファイルにログとして残しておくことです。
コマンド実行攻撃はサーバ内の任意のコマンドを実行させることで攻撃を仕掛けることです。
対策方法はプログラムの実行関数の引数にリクエストからの値を利用しないようにすることです。
今日でセキュリティは一段落したので次からはフレームワークに入ります!
以上です。
0 件のコメント:
コメントを投稿