html配下ではphp実行を抑制する #5064
Labels
Milestone
Comments
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
{{ message }}
概要(Overview)
現状の仕様だとファイル管理などからPHPファイルをアップロードできる。
他の脆弱性と組み合わせ、webシェルなどのファイルを設置される攻撃手法が報告されている。
トレンドマイクロの参考記事
PHPファイルをアップロードできないようにする議論はこちらのIssueでされている。
PHPファイルを設置された場合にも、PHPファイルが実行できないようにできれば上記のリスクを軽減できる。
期待する内容(Expect) or 要望 (Requirement)
適切にPHP実行を制限する .htaccess を設置する。
参考 https://httpd.apache.org/docs/2.4/ja/mod/mod_mime.html
既存サイトのアップデートを考慮し、 .htaccess の削除などで実行の制限を解除できるようにする必要がある。
実現可能性
.htaccess の設置で実現可能(未検証)
nginx のサンプルも用意(nginx はサポート外のため対応が難しい場合は見送る可能性あり)
対応できるバージョン
4.1 以降で検討。
マイナーバージョンで実現可能。
関連情報 (Ref)
#4698
The text was updated successfully, but these errors were encountered: