2003年12月02日
■ ファイル名なしでディレクトリ内のファイルが丸見え!!
[ Computer ]
見つけてしまった・・・orz。なんと、ブラウザからファイル名指定なしのディレクトリを指定するとディレクトリ内の全ファイル一覧が見えてしまうのだ。仮にディレクトリにパスワードを含むファイルを保管してあると簡単にハックされてしまうわけだ・・・。恐ろしい・・・
今回はディレクトリにphpスクリプトで制限をかけようとしていたところたまたまファイル名を入力せずにブラウザからアクセスをしたらディレクトリ内のファイルが表示され、パスワードが含まれるファイルが目にとまった・・・そして恐る恐る、そのパスワードファイルをクリックするとなんと中身が見えてしまったのではないか。。。ぼくは10分間フリーズしてしまった。
10分後 → この定義はまったくよろしくないので即効で修正しましょう。
修正個所はhttpd.conf内の1箇所だけです。修正後apacheを再起動して終わり。
# diff ./httpd.conf.org ./httpd.conf
472c472
< Options Indexes FollowSymLinks MultiViews ExecCGI
---
> Options -Indexes FollowSymLinks MultiViews ExecCGI
#
# /etc/rc.d/init.d/httpd restart
httpdを停止中: [ OK ]
httpdを起動中: [ OK ]
#
今度はファイル名を入力せずにアクセスされる場合はちゃんとapacheが拒否してくれます。
早い段階で気づいてよかったな。・・・といってもブラウザからアクセスできるディレクトリにパスワードや重要なデータを含むファイルを保管すること自体が間違っています。このようなファイルはDocumentRoot以外の場所に保管するべきであると今回学びました。
Posted by zRyu at 21:30 | Updated at 2006年 3月 21日 23:13 | Post 0 Comments & 0 TrackBacks
Post a TrackBack
No more TrackBack (0) for this entry
TrackBack (0)
Comments RSS
Bulkfeed's Similarity
Today Links
Accessed from following URLs...
