「httpoxy」の脆弱性発覚 PHP、Go、PythonなどのCGIアプリに影響
PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。 PHP、Go、Pythonなどの主要なプログラミング言語に影響するCGIアプリケーションの脆弱性が発覚した。発見者はこの脆弱性を「httpoxy」と命名し、7月18日に詳しい情報を公開。悪用は極めて簡単とされ、米セキュリティ機関もパッチまたは回避策の適用といった対策を直ちに講じるよう呼び掛けている。 httpoxyの情報サイトや米CERT/CC、SANS Internet Storm Centerなどによると、この問題はWebアプリケーションにおけるHTTP「Proxy」ヘッダの不適切な使用に起因する。CGIまたはCGIのようなコンテキストで運用されているWebサーバでは、クライアントにリクエストされたHTTP Proxyヘッダが「HT
CGI版PHPに対する魔法少女アパッチマギカ攻撃を観測しました
昨夜に、魔法少女アパッチ☆マギカ攻撃を観測しました。魔法少女アパッチ☆マギカとは、PoCのソースコードに Apache Magica by Kingcope とコメントされていることに由来しています(というか、私がそう訳しましたw)。 これは10月29日にPoCが発表されたPHP-CGI攻撃(CVE-2012-1823)の変種です。従来のPHP-CGI攻撃は、CGI版PHPが動作する環境で、PHPスクリプト(中身はなんでもよい)に対する攻撃でしたが、魔法少女アパッチマギカの方は、/cgi-bin/に置かれたPHP処理系(php-cgiなど)に直接攻撃するものです。 CGI版PHPを設置する方法は複数ありますが、よく使われる方法としてApacheのリダイレクトによりPHPスクリプトをPHP処理系に実行させる方法があります。この場合、/cgi-bin/php-cgiなどとしてPHP処理系を公開
Sign in - Google Accounts
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
Pythonをやってみる CGIとmod_pythonの違い - よしだ’s diary
欲しい情報がどこ探しても見つからなかったので自分で検証。 PythonのHelloWorld総まとめ。 CGI 特徴 ファイルに実行権限を与える必要がある。 1行目は必ずヘッダーを送信する必要がある。 httpd.conf / .htaccess AddHandler cgi-script .py hello.py #!/usr/local/bin/python2 # -*- coding: utf-8 -*- def main(): print "Content-Type: text/html; charset=utf-8" print print "Hello! CGI" if __name__ == "__main__": main() mod_python - handler 特徴 mod_pythonのインストールが必要。 CGIで動かすよりもめちゃくちゃ速い。(らしい) .ht
2006-03-11
Pythonで最近注目されているWebフレームワークとしてweb.pyがあります。これをレンタルサーバーのような、制限の多いCGI環境で使うにはちょっとした工夫が必要です。以下に述べる設定はXREA(CGIにpythonが使える。素敵(^^)v)の場合ですが、ほかのレンタルサーバーでもほとんど同じだと思います。 マルチスレッド処理の無効化 web.pyはWSGI上で動作し、WSGIは内部でマルチスレッド処理をしていますが、XREAではCGIプログラム内でのマルチスレッド処理を許可していないため、無効化してやる必要があります。 2006/5/20追記: 利用しているサーバーが、CGI内でのマルチスレッド処理を許可しているなら、このステップは必要ありません web.pyおよびweb.pyが使用するflupのコードを追っていった結果、以下の箇所を変更すればマルチスレッド処理を無効化し、シングルス
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Using PHP5-FPM With Apache2 On CentOS 6.3
joyfullife.jp
