有線ブロードバンドルーターのおすすめを教えて 20
682 :ちゃんばば:
>>670
>でも、価格コムがハッキングされたりとかそういう話もありますもので、詳しい方に聞きたかったのです。
俺ISDN回線で、PCに直結。NATも使って無くFW無し。あるのはwindows標準のFWだけ。
で、24時間何年も繋ぎっ放しだけど、一度もウイスルになんてやられたことないよ。
pingに応答するようにしているけど。
あと、価格コムのって、フォーム入力をCGIからデータベースに問い合わせるところで、ろくにチェックせずに丸投げしていたからなんじゃ?
「入力データ」を「データベースへの問い合わせ指示:入力データ」みたくチェックせずにデータベースに投げると、入力データが「a;別の問い合わせ指示:それ様の調べたいこと」と
「データベースへの問い合わせ指示:a;別の問い合わせ指示:それ様の調べたいこと」データベースに送られる(送るのは読み出し権限があるIDで行なわれる)。
データベースへの問い合わせルールは大抵SQL使っているので、やりたい放題になってしまうみたいな話でしょ。
ここだって、書き込み字にタグとかチェックしなければ、スプリクト埋め込めてやりたい放題になってしまう。
他には、 http://pc8.2ch.net/hard/dat/1122778649.dat の名前欄に<>埋め込まれればデータずれる。
データファイルに書き出すときには無効化して区切り文字以外に変換する必要がある。
HTMLファイルに表示することも考えてタグの無効化も必要だろうし。
価格コムはそう言ったことを怠っていただけでしょ。
マスコミには高いセキュリティーがあったようなことを主張していたようだけど、実態はお粗末なもの。
>でも、価格コムがハッキングされたりとかそういう話もありますもので、詳しい方に聞きたかったのです。
俺ISDN回線で、PCに直結。NATも使って無くFW無し。あるのはwindows標準のFWだけ。
で、24時間何年も繋ぎっ放しだけど、一度もウイスルになんてやられたことないよ。
pingに応答するようにしているけど。
あと、価格コムのって、フォーム入力をCGIからデータベースに問い合わせるところで、ろくにチェックせずに丸投げしていたからなんじゃ?
「入力データ」を「データベースへの問い合わせ指示:入力データ」みたくチェックせずにデータベースに投げると、入力データが「a;別の問い合わせ指示:それ様の調べたいこと」と
「データベースへの問い合わせ指示:a;別の問い合わせ指示:それ様の調べたいこと」データベースに送られる(送るのは読み出し権限があるIDで行なわれる)。
データベースへの問い合わせルールは大抵SQL使っているので、やりたい放題になってしまうみたいな話でしょ。
ここだって、書き込み字にタグとかチェックしなければ、スプリクト埋め込めてやりたい放題になってしまう。
他には、 http://pc8.2ch.net/hard/dat/1122778649.dat の名前欄に<>埋め込まれればデータずれる。
データファイルに書き出すときには無効化して区切り文字以外に変換する必要がある。
HTMLファイルに表示することも考えてタグの無効化も必要だろうし。
価格コムはそう言ったことを怠っていただけでしょ。
マスコミには高いセキュリティーがあったようなことを主張していたようだけど、実態はお粗末なもの。
|
|
|