Apache HTTPD: mod_allowfileowner - ダメ出し Blog

2013/09/17 33 users Apache HTTPD サーバーサービス Fol ダメ出し

mod_allowfileowner って何? Apache HTTPD 用のフィルターモジュールです。 静的コンテンツファイルの所有者をチェックして、 指定のユーザーが所有していればアクセスを許可し、 そうでなければ拒否します。 何が嬉しいの? 共有 Web サーバーサービスにおいて、一部のシンボリックリンク攻撃を防ぐことができます。 参考: Apache HTTPD: Options -Fol... 続きを読む

Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog

2013/09/02 307 users シンボリックリンク options ロリポップ 徳丸浩 脅威

背景 ロリポップの共有 Web サービス下のサイト改ざん事件で、 攻撃手法の一つとして 「他ユーザー所有のファイルへのシンボリックリンクを自分のコンテンツディレクトリ下に作り、Apache HTTPD 経由でアクセスする」手順が利用されたらしい。 参考: ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 | 徳丸浩の日記 http://blog.tokumaru.org/201... 続きを読む

徳丸浩の日記: ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策

2013/09/02 969 users ロリポップ 徳丸浩 脅威 レンタルサーバー サイト改ざん事件

既に報道されているように、ロリポップ！レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改... 続きを読む

ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 | 徳丸浩の日記

2013/09/02 970 users ロリポップ 徳丸浩 脅威 レンタルサーバー サイト改ざん事件

2013年9月2日月曜日 ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 既に報道されているように、ロリポップ！レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッシ... 続きを読む