アカウント名:
パスワード:
などとすればサーバーのバージョンが判ります。これは、単にブラウザでアクセスするのと同じで、許可が必要なワケはありません。sorede, 既にセキュリティーホール(クロスサイトスクリプティング含む)があると判っているバージョンだったら、それだけで「危険」だとわかるでしょ?
ええ、おっしゃる通りですが、隠す事まで考えていないない所が多いんじゃないでしょうか? (自分でも100個所ぐらいサンプルとしてやってみて、調べてみようかな)
もっとも、telnet 80 以外の方法でバージョンを特定する方法も幾つか頭に浮かびますが、、、(要は、突っつくという事ですが)
Debian の安定版の場合には、セキュリティ上の問題が見つかった場合、通常はバージョンアップせず、パッチをバックポートします。ので、バージョンで判断すると、問題あり、ということになってしまいます。
他の場合は知りませんが。
妙な日本語やね。
クロスサイトスクリプティングってWebサーバやOSのバージョンと関係があるんですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
どうでもいい疑問 (スコア:1)
アレだけの母体数だったら許可なんて取ってられないし
バナーだけで判断かな?
あとクロスサイトスクリプティングは脆弱性に含まれているのだろうか?
これを含めるともっとありそうな気がしないでもない
そんなの簡単じゃん (スコア:1)
などとすればサーバーのバージョンが判ります。これは、単にブラウザでアクセスするのと同じで、許可が必要なワケはありません。sorede, 既にセキュリティーホール(クロスサイトスクリプティング含む)があると判っているバージョンだったら、それだけで「危険」だとわかるでしょ?
Re:そんなの簡単じゃん (スコア:1)
Apache なら ServerTokens [apache.org].
-- wanna be the biggest dreamer
Re:そんなの簡単じゃん (スコア:1)
ええ、おっしゃる通りですが、隠す事まで考えていないない所が多いんじゃないでしょうか? (自分でも100個所ぐらいサンプルとしてやってみて、調べてみようかな)
もっとも、telnet 80 以外の方法でバージョンを特定する方法も幾つか頭に浮かびますが、、、(要は、突っつくという事ですが)
バージョン番号 (スコア:2, 参考になる)
Debian の安定版の場合には、セキュリティ上の問題が見つかった場合、通常はバージョンアップせず、パッチをバックポートします。ので、バージョンで判断すると、問題あり、ということになってしまいます。
他の場合は知りませんが。
Re:そんなの簡単じゃん (スコア:0)
Re:そんなの簡単じゃん (スコア:0)
Re:そんなの簡単じゃん (スコア:0)
Re:そんなの簡単じゃん (スコア:0)
Re:そんなの簡単じゃん (スコア:0)
妙な日本語やね。
Re:そんなの簡単じゃん (スコア:1)
apache は単なる一例として挙げていることもちゃんと読めば分かる。
# あー、もう。formkey のエラーは腹立つなぁ。
-- wanna be the biggest dreamer
Re:そんなの簡単じゃん (スコア:1)
てっきり一つ一つ「本当に」セキュリティホールを突いてみたのかな?と思っただけで
#やった時点で法的にまずいゾーンに突入ですね(^^;
Re:そんなの簡単じゃん (スコア:1)
クロスサイトスクリプティングってWebサーバやOSのバージョンと関係があるんですか?
知りませんでした。
もし良かったら、後学のためにポインタだけでいいので教えてください。
tai
Re:そんなの簡単じゃん (スコア:2, 参考になる)
Re:そんなの簡単じゃん (スコア:1)
office
Re:そんなの簡単じゃん (スコア:1)
office