2007年12月25日

某Webサイトのスパム対策完了

弊社でお手伝いしている某Webサイトにスパム投稿が発生。
スパムにはある特徴があったので、それを元にして、該当ユーザの列挙、記事、コメント、その他を一括抽出、削除してみました。

ユーザは消さずにパスワードだけ変更しておく方向で。

ごちゃごちゃあった英字スパムがなくなって、すっきり綺麗になりました。年末清掃みたいです。


posted by SDozono at 18:05| 東京 ☀| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2006年12月04日

OSS の場合、人の話を鵜呑みにしてはいけない。

オープンソースを紹介する記事はいろいろありますが、すべてを鵜呑みにすると危ないですよ。NEXTWISEさんもオープンソース推進のためにがんばっておられますが、下記のソフトはまずいと思います。

(下記引用。)
-----------------------------------------
FreeWERM 〜人事部お助けソフト〜
http://nextwise.jp/ossreview/?p=1313
従業員の勤怠、給与情報、個人情報などを管理するためのWebベースアプリケーション。オープンソースソフトウェアであり、無料でダウンロードできます。データをデータベースに貯えており、従業員情報をPDFで出力することや、タイムカードをMicrosoft Office Excelのデータとして出力することも可能です。
-----------------------------------------

コメントするところがなかったのでここに書いておきますが、このソフトを仮にだれかが使ったら一発で情報漏えいです。デモで動いているサーバも、データベースのパスワードが丸見えでした。(2006/12現在)これはソース見たら一目であぶないとわかるレベルだと思うんですが……。SQLインジェクションとか、クロスサイトスクリプティングとかいう以前の問題です。事務所のLANの中だけで使うから安全だ、とかは言えないと思います。

オープンソースのソフトはこの手のものが山ほどありますので、MOONGIFTさんのように、最低、自分のサーバで動作させてチェックするくらいはして記事を書いたほうがよいと思います。

*12/6 追記*
言いっぱなしでは申し訳ないので、上記プロジェクトのほうに連絡しました。現在、データベースパスワードに関しては、見えてしまわないようにサイトを修正したようです。


posted by SDozono at 22:15| 東京 ☀| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2005年11月17日

拾われてはいけないページが検索エンジンに拾われた場合

個人や企業で使っている、
「ユーザ名:/パスワードを入力してください」なんていう画面は、Googleなどに拾って欲しくありません。

そのページに、
<meta name="robots" content="noindex,nofollow">
<meta name="robots" content="noarchive">
を書いておくべきです。

どこから飛んできたのか?分かりませんが、え〜っと思うようなページをGoogleにクロールされることはありえます。
また、めったやたらに隠れたページを発見しようとするツールもあるわけです。

で、だれかから「★★に登録されてしまった。どうしよう」と相談を持ちかけられることがあるかもしれません。
そんな場合には、URLを変更してしまうのがいちばん確実です。

でも、いつでもそれができるとは限りません。
これは、「検索エンジンから飛んでこられた場合には、もとのページへお返しする」
スクリプトです。
PHPスクリプトであれば、頭にこんなのを書いておくと、帰っていってくれます。
//安全対策
//(記号は一部、全角になってます。)
$engines = array(
     "google.co.jp",
     "google.com",
     "yahoo.co.jp",
);
$referer =$_SERVER['HTTP_REFERER'];
for($i=0;$i<count($engines);$i++){
     if(ereg($engines[$i],$referer)){
        header("location: http://www.".$engines[$i]."/");
        die;
     }
}
///ここまで。
★でも、ブラウザに「直接URLを入力」した場合には効果がありません。
あくまでも、気休め程度ということで……。
posted by SDozono at 17:58| 東京 ☀| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
WebとCTI、VoIP技術の高みを目指して - 技術者の24時間
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。