質問編集履歴
3
本件一応の解決の為、環境情報を一部削除しました。
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -204,9 +204,7 @@
|
|
|
204
204
|
|
|
205
205
|
###補足情報(言語/FW/ツール等のバージョンなど)
|
|
206
206
|
|
|
207
|
-
<環境>
|
|
207
|
+
<環境>レンタルサーバ(OS:CentOS)
|
|
208
|
-
|
|
209
|
-
(https://lolipop.jp/service/server-spec/)
|
|
210
208
|
|
|
211
209
|
|
|
212
210
|
|
2
前提・実現したい事に当方でやった事を追加。
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -18,6 +18,14 @@
|
|
|
18
18
|
|
|
19
19
|
|
|
20
20
|
|
|
21
|
+
なお、当方で色々実験しているのですが、インジェクション攻撃で何か起こせないかと思い、CGIに渡すデータに記号やら何や怪しいデータを含めてPOSTしても、出力されるファイルのデータ的には使えないものではあるのですが、後続のバッチで弾ける様子なので、取り立てて問題とも思えませんでした。
|
|
22
|
+
|
|
23
|
+
情報漏洩やら不正ログイン等のリスクにならないのであれば、このCGIでも問題は無いのかとも思えてきました。
|
|
24
|
+
|
|
25
|
+
みなさんのご意見を伺いたいです。
|
|
26
|
+
|
|
27
|
+
|
|
28
|
+
|
|
21
29
|
###セキュリティリスク
|
|
22
30
|
|
|
23
31
|
<DDOS攻撃によるサービス妨害>
|
1
補足情報に前提を追記。
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -202,6 +202,12 @@
|
|
|
202
202
|
|
|
203
203
|
|
|
204
204
|
|
|
205
|
+
<前提>
|
|
206
|
+
|
|
207
|
+
CGIプログラムは誰でもアクセス可能。制限なし。
|
|
208
|
+
|
|
209
|
+
|
|
210
|
+
|
|
205
211
|
<プログラム概要>
|
|
206
212
|
|
|
207
213
|
1.ユーザがメールを受信⇒メールに記載のユーザ一意のリンクにアクセスする事で入力画面を表示
|