Skip to main content

none

マッドスキッパーは仙台市のシステム開発事務所です。

WEBシステム開発事務所 マッドスキッパーの業務イメージ

PHPを主としたシステム開発を行っています。

対応開発言語
PHP・C言語・シェルスクリプト・perl・VBA・VB・各種DB
(x)html・css・javascript

ホームページ制作業者様では対応不可能な、サーバーサイドスクリプト言語を活用し、数々の機能をホームページに持たせる事が可能です。
開発能力、言語スキル、技術力ではどこにも負けません。無いモノは創ります!

主な業務内容

WEBシステム開発
PHP・Perl等の言語で、WEBサーバーの中で動くWEBアプリケーションの開発を行います。
お客様の要望する機能を実現する事ができます。
サーバー移転等で動かなくなってしまったプログラムの修正等も賜ります。
維持・更新の簡単なホームページ制作
ブログと同じ感覚でカンタンに更新できるホームページを制作します。

静的なHTMLファイルによるサイトの脆弱性

Posted in

ウェブサイトのファイルを改ざんするガンブラー(Gumblar)の流行で思った事。

ご存知の通り、このガンブラーはサイト内(サーバー内でアクセス可能な部分)に設置されたファイルに特定のコードを挿入します。

挿入されるコードは
/*LGPL*/ try から始まるコードですが
上記の文字列でコード挿入が行われるのはJavascriptファイル(*.js)です。
ディレクトリの位置は関係なく、FTPで接続した際にアクセス可能なファイル全てにコードを挿入します。

そして、indexとdefaultという文字列を持つファイルにも同様にコードの挿入を行いますが
JAVASCRIPT以外のファイルには、<script>LGPL*/ tryと、スクリプトタグから始まるコードとなります。

例えば、このコードの挿入が行われたファイルがPHPファイルの場合、ファイルの最後の閉じタグ「 ?> 」を入れない事でスクリプトの実行を阻止できますね。

なぜ阻止できるのか。

PHPファイルであれば、<script>/*LGPL*/ tryの最初の「<」の部分でエラーとなってしまい、ページ自体を表示させる事ができなくなってしまいます。

これが、静的なHTMLファイルの場合、、<script>/*LGPL*/ tryの部分はファイルの構文にどんなミスがあろうともブラウザに吐き出しますので、セキュリティホールのあるPCで閲覧された場合には、感染させてしまう事になります。

静的なHTMLファイルで作成されたサイトは、こんなにも脆いものなんです。

コンテンツの配信