2002年のサーベンスオクスリー法は、米国議会がその年の7月30日に可決した法律であり、企業による誤った金銭的補償から投資家を守るのを支援するものである可能性があります.2002年のSOX法および2002年の企業責任法とも呼ばれ、既存の証券規則の厳格な改革と、法律違反者に対する義務的な強力な新しい罰則。
2002年のサーベンス・オクスリー法は、2000年代初頭に、エンロンコーポレーション、タイコインターナショナルplc、ワールドコムなどの上場企業が関与したマネースキャンダルに対応して制定されました。知名度の高い詐欺は、会社の金銭声明の信頼性に資本家の信頼をもたらします。数十年前の制限基準の見直しを要求するために、Nursingd発光ダイオードのアソシエイト。

説明
Webコンテンツへのアドミタンスを適切に制御することは、安全なWebワーカーを実行するために重要です。インデックスクロッシングまたはパストラバーサルはHTTP攻撃であり、攻撃者が限定されたカタログにアクセスして、Webワーカーのルートレジストリの外部で注文を実行できるようにします。
Webワーカーは、2つの主要なセキュリティ手段を提供します
*アクセス制御リスト（ACL）
*ルートインデックス
アクセス制御リストは、承認サイクルで使用されます。これは、Webワーカーのマネージャーが、他のアクセス権と同様に、ワーカーの特定のレコードにアクセス、変更、または実行できるクライアントまたはギャザリングを示すために使用する要約です。
ルートレジストリは、クライアントが保持されているワーカーレコードフレームワークの特定のインデックスです。クライアントは、このルートを介して何にもアクセスできません。
たとえば、Windows上のIISのデフォルトのルートレジストリはC：\ Inetpub \ wwwrootであり、この配置では、クライアントはC：\ Windowsにアプローチしませんが、C：\ Inetpub \ wwwroot\newsおよびその他のインデックスとドキュメントにアプローチします。ルートカタログ（クライアントがACLによって確認されている場合）。
ルートインデックスは、クライアントがワーカー上のドキュメントにアクセスできないようにします。たとえば、WindowsステージではC：\ WINDOWS / system32 / win.ini、Linux/UNIXステージでは/など/passwdレコードです。
この弱点は、Webワーカープログラミング自体またはWebアプリケーションコードのいずれかに存在する可能性があります。
レジストリ交差攻撃を実行するために必要なのは、インターネットブラウザと、フレームワーク上のデフォルトのドキュメントとレジストリを意図せずに発見する場所に関する情報だけです。
サイトが無防備である場合に加害者ができることインデックスの交差に対して無防備なフレームワークを使用すると、攻撃者はこの弱点を利用してルートカタログから抜け出し、レコードフレームワークのさまざまな部分にアクセスできます。これにより、加害者は制限されたドキュメントを見ることができ、フレームワークからの追加のトレードオフに必要なより多くのデータを攻撃者に与える可能性があります。
サイトアクセスがどのように設定されているかを条件として、攻撃者は「サイト」に関連するクライアントとして自分自身を模倣することによって注文を実行します。これらの線に沿って、すべてはサイトクライアントがフレームワークでアドミタンスを提供されたものに依存しています。
Webアプリケーションコードによるディレクトリトラバーサル攻撃の図動的ページを使用するWebアプリケーションでは、入力は通常、GETまたはPOSTの要請技術を介してプログラムから取得されます。これは、HTTPGETデマンドURLGETの図です。
http://test.webarticles.com/show.asp?view=o
ldarchive.html HTTP / 1.1
ホスト：test.webarticles.com
このURLを使用して、ブラウザーはサーバーに動的ページshow.aspを要求し、それを使用して、oldarchive.htmlの値を使用してパラメータービューも送信します。このリクエストがウェブサーバーで実行されると、show.aspはサーバーのファイルシステムからファイルoldarchive.htmlを取得してレンダリングし、ブラウザに送り返してユーザーに表示します。攻撃者は、show.aspがファイルシステムからファイルを取得し、次のカスタムURLを送信できると想定します。
得る
http://test.webarticles.com/show.asp?view=../../../../../Windows/system.ini HTTP / 1.1ホスト：test.webarticles.comこれにより、ファイルシステムからファイルsystem.iniを取得し、それをユーザーに表示するための動的ページ。
式../は、オペレーティングシステムディレクティブとして一般的に使用される1つのディレクトリを上に移動するようにシステムに指示します。攻撃者は、システム上のWindowsフォルダを見つけるためにいくつのディレクトリに移動する必要があるかを推測する必要がありますが、これは試行錯誤によって簡単に実行できます。
Webサーバーを介したディレクトリトラバーサル攻撃の例コードの脆弱性は別として、Webサーバー自体でさえディレクトリトラバーサル攻撃にさらされる可能性があります。この問題は、Webサーバーソフトウェアに組み込むことも、サーバーで利用可能なままになっているサンプルスクリプトファイルの中に組み込むこともできます。
この脆弱性は最新バージョンのWebサーバーソフトウェアで修正されていますが、ディレクトリトラバーサル攻撃にさらされている可能性のある古いバージョンのIISとApacheをまだ使用しているWebサーバーがオンラインにあります。この脆弱性を修正したWebサーバーソフトウェアバージョンを使用している場合でも、ハッカーによく知られている機密性の高いデフォルトのスクリプトディレクトリが公開されている可能性があります。
たとえば、IISのscriptsディレクトリを使用してディレクトリをトラバースし、コマンドを実行するURL要求はGETになります。
http://server.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\ HTTP / 1.1ホスト：server.comリクエストはユーザーにリストを返しますcmd.exeコマンドシェルファイルを実行してC：\ディレクトリ内のすべてのファイルを検索し、シェルでコマンドdir c：\を実行します。URLリクエストに含まれる％5c式は、通常の文字を表すために使用されるWebサーバーのエスケープコードです。この場合、％5cは文字\を表します。
最新のWebサーバーソフトウェアの新しいバージョンは、これらのエスケープコードをチェックし、通過させません。
ただし、一部の古いバージョンでは、ルートディレクトリエンフォーサでこれらのコードが除外されず、攻撃者がそのようなコマンドを実行できるようになります。