Nucleusにアタックが 3
この話をNucleus(JP)フォーラムに投げたら、Katsumiさんが「私のところでは、URLが2つ以上の?を含む場合に実行を停止するようなコードを、config.phpに入れています。 」と教えてくれた。
これは簡単そうだ。
リクエストされたURLは、_SERVER["REQUEST_URI"]に入るから、その中に ? が複数あったら、「お前来るなページ」に飛ばせばいいのだ。
「お前来るなページ」に飛ばすとチェックしてることがわかってしまう。
index.phpに飛ばすと、「あれ? 変だな」程度になるかもしれない。
クラッカーに情報を与えないほうがいいのか、はっきり知らせたほうがいいのかは思案どころだ。
とりあえず、Nucleusの標準の動きに合わせておこう。
escapeshellarg, escapeshellcmd , mysql_real_escape_string はどうしよう。
Nucleus が、どのくらい対策してるか
一度見てみないといけないかも。
人間がコメントを投稿するときは、
1.一度そのページを表示する。
2. コメントを書く。
3. 送信ボタンを押す。
という流れになる。
だが、プログラムがやるときは
1. いきなり、ページにある変数にデータをつけてURLに投げ込む。
というやり方だ。
だから、ページを開かないで送信があったら弾いちゃうという手があるようだ。
そのときに、接続させたまま、受け取りをずるずる引き延ばしてしがみついてると、相手が嫌がるらしい。
1.一度そのページを表示する。
2. コメントを書く。
3. 送信ボタンを押す。
という流れになる。
だが、プログラムがやるときは
1. いきなり、ページにある変数にデータをつけてURLに投げ込む。
というやり方だ。
だから、ページを開かないで送信があったら弾いちゃうという手があるようだ。
そのときに、接続させたまま、受け取りをずるずる引き延ばしてしがみついてると、相手が嫌がるらしい。
08 Feb, 2009 | mokimoc
Comments
Leave comments
このアイテムは閲覧専用です。コメントの投稿、投票はできません。