バージョン選択

フォーラム

メニュー

オンライン状況

60 人のユーザが現在オンラインです。 (12 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 60
もっと...

サイト内検索

その他 > その他 > アクセス制限不備の脆弱性

その他

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
YanNaing
投稿日時: 2023/10/12 13:51
対応状況: 開発中
半人前
登録日: 2022/9/8
居住地:
投稿: 19
アクセス制限不備の脆弱性
お疲れ様です。

EC-CUBE 4.1.1
サーバーOS Linux
DBサーバー MySQL 5.7.38
WEBサーバー Apache
PHP 7.4.30

不要ファイルの検出

依頼
※下記のリンクを制限方法を教えていただけますでしょうか。

内容
診断対象の Webサーバにおいて、公開を意図していないと想定されるファイルが発見されました。
ファイルの内容によっては内部情報が漏洩する可能性があります。

再現例
http://127.0.0.1/projectName/icons/a.png

http://127.0.0.1/projectName/robots.txt

リスク
本指摘事項により考えられるリスクは次の通りです。
- ファイル記述内容からの内部情報漏洩
- 該当ファイルが存在することから、不完全な設定がされたサーバを対象とした無差別な不正アクセ スの対象となる。


宜しくお願い致します。
mcontact
投稿日時: 2023/10/12 14:50
対応状況: −−−
登録日: 2022/1/22
居住地:
投稿: 1590
Re: アクセス制限不備の脆弱性
該当のファイルが必要ないのであれば、削除する。
必要であり外部流出を許さないのであれば、社内のみからアクセスできるアクセス権限等を設定できるファイルサーバ等に移行させて管理すれば良いと思いますが...

たぶん、脆弱性診断等を外部または内部で行い対策や対応方法を求められているかとお見受けしますが、診断結果に基づいた説明が出来なければセキュリティ対策の意味がありません。
対策や対応方法の説明等が出来ないのであればEC-CUBEインテグレートパートナーやセキュリティー専門会社等にご相談する事をお勧めいたします。


----------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
EC-CUBEインテグレートパートナー【ゴールド】ランク
M&I Works
URL: https://miworks.biz/
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は98,327名です
総投稿数は112,022件です

投稿数ランキング

1
seasoft
7369
2
468
3217
3
AMUAMU
2712
4
nanasess
2325
5
umebius
2085
6
h_tanaka
1911
7
yuh
1898
8
mcontact
1590
9
red
1575
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
805
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
balisys
502


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.