PHP ASP
未だにECサイトなどのセキュリティ関連ニュースを目にしますが、偶然なのかそれらのECサイトがASPで構築されています。
例えばナチュラムやアミューズなど。
単なる偶然だと思いたいのですが、ASPにはセキュリティホールを生みやすい脆弱性でもあるのでしょうか?
詳しい方の見解おねがいします。
あと、ヌルバイト攻撃についてお聞きします。最近、Cakeなどのフレームワークを多用しているアップが多いですが、基本的にドライバーであるindex.phpに引数を渡して該当するファイルを読み込んでいるんですよね?(間違っていたらごめんなさい)そうなると
include("../mod/".$_GET['action'].".php");
に成るのではないかと思うのですが、この際$_GET['action']を正規表現で値を確認するだけで十分なのでしょうか?
ヌルバイト攻撃はこの際無視して良いのでしょうか?
よくセキュリティ関連のサイトはSQLインジェクションやXSS、コマンドインジェクションなどを説明していますが、ヌルバイト攻撃に関してはそれほど記述されていません。これってヌルバイト攻撃はそれほど考慮しなくても良いという意味なのでしょうか?
職業柄、ASPの方だけ回答します。(個人の見解です)
ASPやSaaSのプラットフォームは、大量のサーバーに複数の利用顧客がそれぞれにアプリケーションを実行しています。
当然、色々な業務がそれによって実行されるわけです。
インターネットシステムなので基本的には24時間稼動するのですが、それでも業務停止が行われる、
いわゆるメンテナンス時間というものがあり、それは業務ごとに違います。
ASPのアプリケーションが実行されている環境で、例えばセキュリティホールに対応するパッチがリリースされた場合、業務の都合でシステムが止められません。よって、パッチ適用が遅れますので、それだけセキュリティリスクが高まることになります。
ASPとはASP.NETの事です。
正しく言えばActive Server Pagesの事。
貴方の言うASPではありません。