過去の投稿

2010年06月 の投稿一覧です。
カテゴリー: osCommerce
投稿者: デニィ
投稿日時: 2010-06-11 - 12:51:09

oscommerce(v2.2RC2a)
oscommerce(v2.2jMS1)



タイトルのようなキーワードで訪問される方が多いので書いておきたいと思います。

ずっと前にもを書いたのですが、引退後に暇を持て余した団塊さんや携帯端末の機能充実によるユーザー拡大で、半角カナ文字や全角スペースなど、あまり歓迎できない入力が増えてくると思います。

で、対策ですが、PHPのmb_convert_kanaという関数を使うのが簡単で一般的だと思います。
ただ、海外のレンタルサーバーの場合は入っていない場合もありますので、RC2aを独自に日本語化して使っている場合はサーバー管理者に頼んで導入してもらうか、PHP SAMPLES & TIPSさんのjcode.phpmbstring_wrapper.php(jcode.phpをmbstringライクに使用する)をms1から移植したり、カリフォルニアワインのお勝手口さんのmbstringエミュレータを導入するなどして対応します。




カテゴリー: osCommerce
投稿者: デニィ
投稿日時: 2010-06-09 - 16:35:00

oscommerce(v2.2RC2a)



2008年頃(もっと前かも)から言われている*icon_doc*admin/file_manager.phpの脆弱性(directory traversal)を利用したリモートアップロード(ダウンロードも可)。
そんな事から*icon_doc*admin/file_manager.phpは削除してしまうのが基本といわれています。

で、私が遊んでいる(放置中)oscommerce(v2.2RC2a)には*icon_doc*admin/file_manager.phpが放置されていたんですよね=:[

その結果がこれですよ:[]

ざっと調べてみると、*icon_doc*admin/file_manager.phpを利用して、書き込み可能なディレクトリ(images等)にリモートシェルスクリプト(使ってみましたが非常に高機能:))を設置して、それを足がかりに好き勝手に改竄するという感じです。

マクシモクブログの場合は特に改竄されたわけではなく、犯行声明(twe.html)が置かれていっただけなのですが、酷い場合にはトップページにトルコの国旗がはためいていたりするみたいです。

対策として簡単なのから、
1)*icon_dir*imagesなどのパーミッションを755で運用する。
2)*icon_dir*admin/のリネーム
3)*icon_doc*admin/file_manager.phpの削除
4)*icon_doc*admin/.htaccessで、アクセスを制御する。
5)本家フォーラムを参考にいろいろする。
6)osCommerceをあきらめる。
などがあります。

あと、多分に絶対*icon_doc*configure.phpは見られちゃっていますので、管理用のパスワードやユーザーネーム(サーバー・データベース等、全て)は速やかに変更する必要があります。

よし、これでタイトルの即死はもう無いよね?



とは、残念ながらならないんです。