その他 > その他 > アクセス制限不備の脆弱性 |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
YanNaing |
投稿日時: 2023/10/12 13:51
対応状況: 開発中
|
半人前 ![]() ![]() 登録日: 2022/9/8 居住地: 投稿: 19 |
アクセス制限不備の脆弱性 お疲れ様です。
EC-CUBE 4.1.1 サーバーOS Linux DBサーバー MySQL 5.7.38 WEBサーバー Apache PHP 7.4.30 不要ファイルの検出 依頼 ※下記のリンクを制限方法を教えていただけますでしょうか。 内容 診断対象の Webサーバにおいて、公開を意図していないと想定されるファイルが発見されました。 ファイルの内容によっては内部情報が漏洩する可能性があります。 再現例 http://127.0.0.1/projectName/icons/a.png http://127.0.0.1/projectName/robots.txt リスク 本指摘事項により考えられるリスクは次の通りです。 - ファイル記述内容からの内部情報漏洩 - 該当ファイルが存在することから、不完全な設定がされたサーバを対象とした無差別な不正アクセ スの対象となる。 宜しくお願い致します。 |
mcontact |
投稿日時: 2023/10/12 14:50
対応状況: −−−
|
神 ![]() ![]() 登録日: 2022/1/22 居住地: 投稿: 1590 |
Re: アクセス制限不備の脆弱性 該当のファイルが必要ないのであれば、削除する。
必要であり外部流出を許さないのであれば、社内のみからアクセスできるアクセス権限等を設定できるファイルサーバ等に移行させて管理すれば良いと思いますが... たぶん、脆弱性診断等を外部または内部で行い対策や対応方法を求められているかとお見受けしますが、診断結果に基づいた説明が出来なければセキュリティ対策の意味がありません。 対策や対応方法の説明等が出来ないのであればEC-CUBEインテグレートパートナーやセキュリティー専門会社等にご相談する事をお勧めいたします。
|
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |