カテゴリ | セキュリティ・スパム・悪戯対策 |
サマリ | 特定の文字列を含んだ編集がセキュリティ機能(WAF)にSQLインジェクションだと判定される |
バージョン | |
投稿者 | ぬぺぺ |
状態 | 完了 |
投稿日 | |
最近PukiWikiを導入した運営初心者です。
PHPの知識はほんのちょっとです…。
ConoHa Wingというレンタルサーバーで「SiteGuard Lite」というWAF(Web Application Firewall=セキュリティ機能)が提供されているので使用しているのですが。
この機能を有効にしていると、プレビューや編集の際にソース内に特定の文字列(後述)が含まれていた際にSQLインジェクションだと判定されてしまい、編集等ができなくなってしまいます。
その文字列の検知を除外すれば編集はできるようになるのでそうする予定なのですが、セキュリティをオフにするというのは少し嫌なので、原因を調査したいです。
・これって要するにどういうものなんでしょうか?
ただの全くの誤検知orちょっと可能性がある のどっちなのかわからないのでもやもやします。
・PukiWiki内でSQLを使っているのはカウンター機能?だけなんでしょうか?
・無視した方が良いのでしょうか、それとも何かしら対応を試みた方が良いのでしょうか…?
以下、ソースに含まれていると攻撃だと判定される文字列です。(本題とは関係ないですが、参考までに)
- '~--
- /*~*/
- or~=
- その他(その他としか表示されない)
- カウンタも標準ではSQL(データベース)を使わないのでSQLインジェクションは起きえません。アプリケーションの脆弱性を検知しているわけではなく、単純に入力に特定の文字が含まれているかを見ているような機能であればエラーは無視してよいです。 また、最新版には既知の脆弱性はないのでその「セキュリティ」機能をOFFにしても問題は起きません。 (古いバージョンには脆弱性が含まれている場合もあります。例: https:// jvn.jp/jp/JVN465742E4/ ) おそらくそのレンタルサーバーの機能は、「動かすアプリケーションに脆弱性があった場合にも、一部の攻撃は防ぐことができる」というものです。その代わりに、今回のようにアプリケーションの動作が妨げられることもあります。 -- umorigu
- ご回答ありがとうございます!標準ではSQL使わないんですね。おかげさまで安心してオフにできます…!ありがとうございました!! おっしゃる通り、POSTなどで送信した文字列の中に特定の文字列が含まれていた場合に無条件で中断するタイプのものだったようなので、pukiwikiとは相性最悪みたいですね。メールフォームみたいな通常の文字列しか入力されないタイプのデータしか送信されないようなサイトだったら良さそうなのですが…。 -- ぬぺぺ
- オフにしてきました。親切にご回答ありがとうございました!助かりました。クローズしようと思うのですが、手編集で完了にしてしまって良いのでしょうか?もし違ってたらすみません。 -- ぬぺぺ