Authentication




Cancel OK
B!コメントする  2012-11-20 09:53:00 by old

WEB上でのセキュリティーの確認

セキュリティーってのは確認していくとキリがありません。
自分のところだけでなく、自分が作ったものを載せている土台(サーバーとか)とか、それらを関連付けるモジュールなんかまで広がっていきとてもじゃないけどカバーしきれない。

じゃあどんなことからすればいいのか?
ということを聞かれることがあるんだけど、単純に全てのアドレスにアクセスしてみるだけでも効果はある。

例えば以下のスクリプトがあったとする

index.php
loginchack.php
member.php


まぁありがちだけど単純に
index.php でユーザーIDとパスワードを入力してlogin
check.phpに遷移し
IDとパスワードをチェック。
問題なければmember.phpに遷移するというもの。
index.phpはいいとしてlogin_check.phpとmember.phpにブラウザ上からダイレクトにURLを入力してアクセスを行ってみる。

処理によっては何も表示されない白紙(エラーではなく処理がないので白紙)だったり、エラー表示後にindex.phpに戻されたりというのがよくあるパターンになる。

白紙のままだったりエラー表示が出るのはマズいのでもちろん修正するべきだけど、
ともかく全アドレスにアクセスを行ってみるというのもとても重要。

また存在しないアドレスやサーバーによって優先順位があるものも考慮するといい場合がある。
たとえば上記の3つのPHPしかない状態で「index.html」のアドレスにアクセスを行ってみるとか、hogehoge.cgiと言ったものを指定してみる方法。

これは単純だけどエラー内容やサーバーが返す内容によってはOSやPHPのバージョンなんかが表示される場合があるので注意が必要する必要がある。

もちろん専用のツールやソフトでチェックするのも重要だけど、アクセスするだけで分かることもあるのでまずは機能が一つできあがったらアクセスしてチェックを行い、ついでにエラーログなんかも確認すると後々の余計な手間を減らすことが出来る。


セキュリティー  

  • コメント
  • コメントはまだありません