[stalk:01346] Re: cgiwrap 最新版で見つかっている新たなＸＳＳ脆弱性

["K-IM" <k-imaiz@xxxxxxxxxxxxxxxxx>]

> Apache でしたら、LocationMatch と BrowserMatch を組み合わせて
> デバッグモードを一応活かしておく手はあるでしょうね。

> あと、厳しくする方向で「とにかく全部つぶしとこう」という場合は、

> (script 名を Alias や rewrite で隠
> してしまうケースまで含めて考慮するのであれば、Files も使ったほうがいい
> かも)。

崎山さん、情報ありがとうございます。
応用すると特定の固定ＩＰアドレスのみ使用を許すということも
可能な感じですね。

以下、失敗例。
cgiwrapdというリンク名ではなく、X8jpq31kとか変な名前にして
秘匿しておいたらどうなのだろうと真剣に考えたことがありますが
（つまり、URLとして呼び出そうにも名前をしらなくちゃぁダメ）
自分の環境で試していたら、打破できちゃうことに気がついてボツ。
cgiwrapが格納されているディレクトリは、その性質上、誰でも
アクセスできます。そして、デバッグモードのリンクは
同じディレクトリになくてはいけません。
デバッグモードのリンクの名前をいくら奇怪にしたところで、
そのディレクトリに対する
ls -al
を一般ユーザ作成のCGIから発行されたらアウトですものね。

ふぅ。



--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--　　　　 ★「え？あの商品がこの値段♪」見てる人は『得』してる！
　　　　　　　　 http://ap.infoseek.co.jp/is_shop2.html