ApacheでSSI(Server Side Include)を利用する際、場合によっては実行できる内容をカスタマイズしたいことがある。SSIすべてを許可すると、次のようなものがすべて実行されるからだ。
![SSIは許可するがプログラム実行(exec)だけは禁止したい](https://cdn-ak-scissors.b.st-hatena.com/image/square/04e3005deafd63e4c1b4378a550d7d027d4379c4/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fenterprise%2Farticles%2F0206%2F26%2Fcover_news002.jpg)
シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allowfileowner https://fumiyas.github.io/apache/mod-allowfileowner.html 背景 ロリポップの共有 Web サービス下のサイト改ざん事件で、 攻撃手法の一つとして 「他ユーザー所有のファイルへのシンボリックリンクを自分のコンテンツディレクトリ下に作り、Apache HTTPD 経由でアクセスする」手順が利用されたらしい。 参考: http://blog.tokumaru.org/2013/09/symlink-attack.html 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://lolipop.jp/info/news/4149/#090
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
Apacheの設定で Order deny,allowとか Satisfy anyとか、なんだか意味わからん人のために。僕はずっとわかってなかった。 基本 Apacheのアクセス制御には、 ホストによる制御 (Order,Allow,Deny) ユーザ認証による制御 (Auth*, Require) の2通りがある。 Satisfyは、2通りあるアクセス制御の両方を満たす必要があるかどうかを決定する。デフォルトはSatisfy all。Satisfy anyなら、どちらか片方満たせばよい。 Order http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order Order deny,allowは、全てのホストからのアクセスを許可する。 Order allow,denyは、全てのホストからのアクセスを拒否する。 Order d
Apacheインストール 2011/9/19 Windows 7にApache2.2系とPHP5をインストールする方法を解説します。 Apacheの入手 Apache公式サイトから、最新バージョンの「Windows用MSIパッケージ」をダウンロードします。 Apacheのバージョンを選択 ここでは「apache_2.2.14-win32-x86-openssl-0.9.8k.msi」を入れてみます。 「Download」リンクをクリックすると、ダウンロード案内ページが表示されます。 選択したバージョンのパッケージをダウンロード ダウンロード案内ページで、「Apache HTTP Server 2.2.14 is the best available version」のWin32 Binary including OpenSSL 0.9.8k (MSI Installer)の隣にある「apa
windows上でIISとapacheを共存させるためには共通で使用しているポート(80番)の問題を解決しなければいけません。 ネットを回遊しているとIISは8000番ポート等の別ポートを使用し、apacheのリバースプロキシの機能でIISへ飛ばしてあげるという方法が よく見かけますが、今回はその逆をやってみたいと思います。 方法はIIS7から提供されている「Application Request Routing」を利用してapacheへリダイレクトさせてあげます。 今回の環境の前提条件: ・IIS 8000番ポート使用(※デフォルトの設定ではないので各自の環境で読み替えてください) ・apache 8080番ポート使用 ・ユーザからは8000ポートのみのアクセスでIISとapacheの両方にアクセスさせたい。 ・apacheのコンテンツへ到達するためにIISを踏み台とする。 「リクエスト
<概要> FedoraCore4のインストールをして、Web(Apache)のインストールはできましたか? でも、このままでは、まだまだ使えません。 ここでは、色々な設定を行って、より使いやすくしていきます。 ではいってみます。 <所有者(オーナー)の変更> ホームページのファイルを格納するディレクトリがあるのですが、 そのディレクトリの所有者が管理者(root)になっています。 管理者のままでは、不便ですので、まずこの所有者を変更します。 所有者を変えておけば、FTPでファイルのやりとりが自由になりますね。 FTPソフトで、/var/www/html にファイルを置いてみてください。 そうすると、http://192.168.0.102/ファイル名 でそのファイル(ホームページ)が表示されるはずです。 ※ 192.168.0.102 は、私のサーバーのIPアドレスので、適宜変更してくださ
Bermain slot gacor di Toto88 bisa menjadi pengalaman yang menggembirakan dan menguntungkan. Dengan berbagai pilihan permainan, fitur yang menarik, dan peluang menang besar, Toto88 telah menjadi destinasi utama bagi para pemain slot online. Artikel ini akan membantu Anda memahami bagaimana memaksimalkan pengalaman Anda saat bermain slot gacor di Toto88. Toto88 menawarkan pengalaman bermain slot onl
必要に迫られてhttpd.conf(apacheの設定ファイルですね)の所在地を簡単に見つけ出す方法を調べましたのでご紹介します。 【1. httpdのオプションを使う方法】 --------------------------------------------------- % httpd -S VirtualHost configuration: wildcard NameVirtualHosts and _default_ servers: *:80 is a NameVirtualHost default server www.example.com (/usr/local/apache2/conf/httpd.conf:1053) port 80 namevhost www.example.com (/usr/local/apache2/conf/httpd.conf:1053
こんにちは nakamura です。最近トルシエさんテレビ出すぎじゃありません?ウィイレヤロウヨ。オフサイドダヨ! さてさて今回は意外と知られてないけど、サイトをインターネットに公開する際には知っておいた方が良い Apache の設定をいくつかご紹介します(一部 PHP の設定もありますが)。この設定をしていないからといって即危険にさらされるという訳でもありませんが、リスクの芽は摘んでおくに越した事はありませんよね。 無駄な HTTP ヘッダを返さない ディストリビューションにより異なるかもしれませんが、CentOS デフォルトの設定の場合 Apache が返してくる HTTP ヘッダは以下のようなものです。 HTTP/1.1 200 OK Date: Mon, 05 Jul 2010 01:01:14 GMT Server: Apache/2.2.3 (CentOS) X-Powered
今回は、Webサイトやサービスをメンテナンス中にする場合に、どのURLにアクセスしても「メインテナンス中です」の画面を出す正しいやり方を、人間にも検索エンジンにも適切にする作法を主眼に解説します。 この週末の土曜深夜~日曜早朝にかけて、データセンターの設備メインテナンスのため、Web担を含むインプレスグループのほとんどのWebサイトが、どのURLにアクセスしても「メンテ中です」という表示になっていました。 なのですが、その実装がちょっと気になったので、「正しいメンテナンス画面の出し方」を説明してみます。 ※2010-01-16 Retry-Afterを指定するHeaderの指定を修正しました(コメント参照) ※2009-06-17 RewriteCondから [NC] 条件を削除しました(コメント参照) ※2009-06-16 Retry-Afterの記述をGMTに変更しました(コメント参
自宅サーバーのためのPerlセットアップ Perlは、CGIとしてWebサーバー上で動くスクリプト言語です。文字列処理に優れたインタープリタ型の言語で、掲示板などの動的なコンテンツを作るのに最も利用されています。Perlの魅力はこちらにまとめました。>> CGIとは Perlを使うには、Webサーバー(HTTPデーモン)* が必要です。 ここでは無料で使えて高いシェアを誇るApache(アパッチ)上でPerlを使うための手順を解説します。まずはお使いのコンピューターにApacheをインストールしてください。>> Apacheのインストール方法 Perlのダウンロード Perlのインストール CGIを使うためのApacheの設定変更 CGIの動作確認 ※ Windows 98 / Me / NT / 2000 / XP 共通です。 画面は Windows X
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く