- 395 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/04/08(日) 03:30:12 0]
- 漏れのサイトは10万PVは普通に超えてるな
サイト収入は月30万ちょい
登録時のメール欄にOSインジェクションがあって、メールアドレスとしてコマンドを入れると実行可能な状態で 6ヶ月間放置してたけど、後でログ見たら悪用されてなかった。
(登録の度にログは外部へメール送信されるから、後で書き換えられて悪用の形跡が消えたこともありえない。)
セキュリティ関係は自分で0からコーディングすりゃ比較的安全にできるんだけど、
www.cj-c.com/ とか www.kent-web.com/ とかの大手サイトから拾ってきたCGIを 「大手だから安全」 とそのまま使っていて、
後でコードを見たら冷や汗ものだった。
前者の Child Tree とかは OSインジェクション が普通にあって、任意のコードが実行可能 ・ ID発行システムが脆弱でCookie改変でXSSが可能、
Kent のCGIはほぼ全てマルチバイトXSSの脆弱性あり。
もう他人が書いたスクリプトなんて信頼できなくなった。
|
 |
