質問箱/5412

質問箱/5412†

質問†

最近PukiWikiを導入した運営初心者です。 PHPの知識はほんのちょっとです…。

ConoHa Wingというレンタルサーバーで「SiteGuard Lite」というWAF（Web Application Firewall＝セキュリティ機能）が提供されているので使用しているのですが。 この機能を有効にしていると、プレビューや編集の際にソース内に特定の文字列（後述）が含まれていた際にSQLインジェクションだと判定されてしまい、編集等ができなくなってしまいます。

その文字列の検知を除外すれば編集はできるようになるのでそうする予定なのですが、セキュリティをオフにするというのは少し嫌なので、原因を調査したいです。

・これって要するにどういうものなんでしょうか？ ただの全くの誤検知orちょっと可能性がある のどっちなのかわからないのでもやもやします。

・PukiWiki内でSQLを使っているのはカウンター機能？だけなんでしょうか？

・無視した方が良いのでしょうか、それとも何かしら対応を試みた方が良いのでしょうか…？

以下、ソースに含まれていると攻撃だと判定される文字列です。（本題とは関係ないですが、参考までに）

• '～--
• /*～*/
• or～=
• その他（その他としか表示されない）

回答†

• カウンタも標準ではSQL(データベース)を使わないのでSQLインジェクションは起きえません。アプリケーションの脆弱性を検知しているわけではなく、単純に入力に特定の文字が含まれているかを見ているような機能であればエラーは無視してよいです。 また、最新版には既知の脆弱性はないのでその「セキュリティ」機能をOFFにしても問題は起きません。 (古いバージョンには脆弱性が含まれている場合もあります。例: https:// jvn.jp/jp/JVN465742E4/ ) おそらくそのレンタルサーバーの機能は、「動かすアプリケーションに脆弱性があった場合にも、一部の攻撃は防ぐことができる」というものです。その代わりに、今回のようにアプリケーションの動作が妨げられることもあります。 -- umorigu 2021-05-14 (金) 01:37:18
• ご回答ありがとうございます！標準ではSQL使わないんですね。おかげさまで安心してオフにできます…！ありがとうございました！！　おっしゃる通り、POSTなどで送信した文字列の中に特定の文字列が含まれていた場合に無条件で中断するタイプのものだったようなので、pukiwikiとは相性最悪みたいですね。メールフォームみたいな通常の文字列しか入力されないタイプのデータしか送信されないようなサイトだったら良さそうなのですが…。 -- ぬぺぺ 2021-05-16 (日) 17:59:53
• オフにしてきました。親切にご回答ありがとうございました！助かりました。クローズしようと思うのですが、手編集で完了にしてしまって良いのでしょうか？もし違ってたらすみません。 -- ぬぺぺ 2021-05-16 (日) 18:04:00

• PukiWikiについて
  • ダウンロード
  • インストール
  • セキュリティ
  • 活用事例
  • 動作実績
  • プラグイン
    • 欲しい...
    • 自作...
  • スキン
    • 自作スキン

• はじめてのPukiWiki
• FAQ
• Q＆A
• Books
• 質問箱
  • 1 2 3 4 5

• PukiWikiを使おう
• 雑談
• メーリングリスト
• 関連ツール
• リンク集
• InterWikiName

• Info in English

• このサイトについて
  • WebTrack
  • Web委員日誌

• お試し
  • PukiWiki 1.5

最新の16件