水無月ばけらのえび日記

ウェブ健康診断仕様アップデート

公開: 2011年5月22日14時20分頃

LASDECの「ウェブ健康診断仕様」がアップデートされたようです……「ウェブ健康診断仕様（改版）を一般公開しました（平成22年度実施事業） (www.lasdec.or.jp)」。大きく変わったのは以下の2点ですね。

• OSコマンドインジェクションの検査パターンが変更された
• クローラへの耐性試験が追加された

OSコマンドインジェクションは、以前は「ifconfig/ipconfigの結果が表示される」というものでしたが、「sleep/pingでレスポンスが遅くなる」というものに変更されました。サーバ内でコマンドが実行されていても結果が画面に表示されない場合があるため、このような形になったのでしょう。厳密に言うなら、サーバ内で別スレッドが作られて実行されているようなケースや、レスポンスを送り終わってハンドラをクローズしてから実行されているようなケースは確認できません。が、もともとそこまで厳密なものを意図していないでしょうから、これで十分でしょう。

クローラへの耐性試験は、レスポンスが返ってから0.5秒待って次のアクセスをするというシリアルアクセスを実行してみて、障害が起きないかを見るものです。これは明らかに岡崎市立中央図書館事件 (librahack事件) を受けたものでしょう。ステータスコード400番台/500番台のレスポンスが5回以上連続するとNGなので、連続アクセスに意図的に503を返すような実装だと報告されてしまいますね。まあ、もともとそこまで厳密なものを意図していないでしょうから、これで十分でしょう。

• 「ウェブ健康診断仕様アップデート」にコメントを書く

関連する話題: セキュリティ / 岡崎市立中央図書館事件 / librahack