1

Webサイトの新しいデザインを作成していますが、サーバーに電子メールを送信する古いCGIスクリプトがあります。プライバシーの問題のため、ここにコードを投稿することはできませんが、問題はすぐに明らかになります。

このCGIスクリプトはいくつかのテンプレートを取り、「thanks.htm」ページにリダイレクトします。しかし、これを行う間、それは絶対パスを使用しています。

ここで質問:絶対パスを使用するのは安全ですか?つまり、CGIスクリプトを読み取って、サーバーアーキテクチャに関する情報を取得することは可能ですか?

よろしくお願いします、Greetings Thunderhook

4

1 に答える 1

0

プラットフォームや Web サーバーについては言及していませんが、適切に構成された Web サーバーは、読み取り可能な CGI スクリプトを提供できないはずです。セキュリティで保護された環境では、cgi-bin ディレクトリはアクセス可能な Web スペースの外に置くべきだと思います。

私見、絶対パスの使用に関する問題は、拡張性の問題ほどセキュリティの問題ではありません。それが私のアプリであれば、OS 環境変数をドキュメント ルートに設定し、その変数を使用して絶対パスを作成します。それは追加のセキュリティを提供しますか?おそらく-ファイル構造の偵察に関する懸念が多少緩和されるためです。ただし、アプリの再構成や、新しいサーバー/場所への移植が容易になることは確かです。

于 2012-06-05T18:34:05.333 に答える