バージョン選択

フォーラム

メニュー

オンライン状況

17 人のユーザが現在オンラインです。 (4 人のユーザが フォーラム を参照しています。)
登録ユーザ: 1
ゲスト: 16
red もっと...

サイト内検索

その他 > その他 > アクセス制限不備の脆弱性

その他

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
YanNaing
投稿日時: 2023/10/12 13:51
対応状況: 開発中
半人前
登録日: 2022/9/8
居住地:
投稿: 13
アクセス制限不備の脆弱性
お疲れ様です。

EC-CUBE 4.1.1
サーバーOS Linux
DBサーバー MySQL 5.7.38
WEBサーバー Apache
PHP 7.4.30

不要ファイルの検出

依頼
※下記のリンクを制限方法を教えていただけますでしょうか。

内容
診断対象の Webサーバにおいて、公開を意図していないと想定されるファイルが発見されました。
ファイルの内容によっては内部情報が漏洩する可能性があります。

再現例
http://127.0.0.1/projectName/icons/a.png

http://127.0.0.1/projectName/robots.txt

リスク
本指摘事項により考えられるリスクは次の通りです。
- ファイル記述内容からの内部情報漏洩
- 該当ファイルが存在することから、不完全な設定がされたサーバを対象とした無差別な不正アクセ スの対象となる。


宜しくお願い致します。
mcontact
投稿日時: 2023/10/12 14:50
対応状況: −−−
登録日: 2022/1/22
居住地:
投稿: 1195
Re: アクセス制限不備の脆弱性
該当のファイルが必要ないのであれば、削除する。
必要であり外部流出を許さないのであれば、社内のみからアクセスできるアクセス権限等を設定できるファイルサーバ等に移行させて管理すれば良いと思いますが...

たぶん、脆弱性診断等を外部または内部で行い対策や対応方法を求められているかとお見受けしますが、診断結果に基づいた説明が出来なければセキュリティ対策の意味がありません。
対策や対応方法の説明等が出来ないのであればEC-CUBEインテグレートパートナーやセキュリティー専門会社等にご相談する事をお勧めいたします。


----------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
EC-CUBEインテグレートパートナー【ゴールド】ランク
M&I Works
URL: https://miworks.biz/
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は87,663名です
総投稿数は109,424件です

投稿数ランキング

1
seasoft
7362
2
468
3217
3
AMUAMU
2712
4
nanasess
2302
5
umebius
2085
6
yuh
1807
7
h_tanaka
1596
8
red
1567
9
mcontact
1195
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
796
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.