ＣＧＩスクリプト上のセキュリティホール

しん 2000/02/21(月) 15:07:54
はじめまして。
最近、官公庁のホームページの改ざんが話題になり
ましたが、このことに関連して、教えてください。

現在、ホームページにアクセスカウンタを設置して
おります。
http://www.kent-web.com/count/index.html
の「日計カウンタ２」というスクリプトです。
（ほかのサイトのことで、すみません。）

このたび、サーバーの管理者から、ＣＧＩを使うの
は自由だが、セキュリティホールのないものを使う
ようにと指示がありました。
（ファイアウォール等のセキュリティは、サーバー
の管理者が対応するとのことです。）

私は、１ユーザーに過ぎないので、セキュリティホ
ールが何なのかも良くわかりません。
そこで、次の点について、ご存知の方がいらっしゃれば、
教えてください。

１．ＣＧＩプログラムを設置するディレクトリのパーミ
　　ッションを７５５又は７０５にして、ロックファイル
　　（シンボリックリンク関数）専用のディレクトリのみ
　　を７７７にしても、なおかつセキュリティホールが
　　問題となるのでしょうか。
２．仮に、ＣＧＩスクリプト上にセキュリティホールがあ
　　ったとして、ハッカーの侵入による損害を受ける可能
　　性があるディレクトリは、ＣＧＩを設置したディレク
　　トリ以下だけでしょうか。それとも、サーバー全体で
　　しょうか。
３．引数に引っ掛けていたずらできるが、ＣＧＩの機能の
　　範囲内であると聞いたことがあるのですが、これ以外
　　にも、いたずらする方法があるのでしょうか。

よろしくお願いします。

しん 2000/02/22(火) 13:34:04
[[解決]]
１　ある
２　サーバー全体
３　ある
らしいです。

ありがとうございました。

[上に] [前に] [次に]