セキュリティースレッド (262レス)
上下前次1-新
1: 名無しさん@お腹いっぱい。 2001/07/13(金)22:56 ID:E2ZAzpeM(1) AAS
ウェブプログラミング関係のセキュリティー関連スレッド
外部リンク:www.japu.org
外部リンク:www.lac.co.jp
外部リンク[html]:www.w3.org
外部リンク[html]:www.cert.org
外部リンク:www.w3.org
2: ひろゆき 2001/07/13(金)23:06 ID:??? AAS
ニヤリッ
3: age [age] 2001/07/18(水)20:49 ID:??? AAS
セッション管理の脆弱性
外部リンク[html]:www.japu.org
刑事告発 or 民事訴訟?
外部リンク:www.japu.org
4: 名無しさん@お腹いっぱい。 2001/07/19(木)09:03 ID:CQZNnuRk(1) AAS
外部リンク:www.small-j.com
|また、某ホームページで記載されている件ですが
|「不正アクセス行為の禁止等に関する法律」
|(2000/02/13施行)
|の一部に該当するおそれがあると思われます。(不正アクセスを助長する行為)
わざわざ自分の馬鹿さ加減を世界に公開しなくてもいいのに。
5: ななし 2001/07/19(木)20:31 ID:0JFzIhxU(1) AAS
これはさらしageOK?
6: 名無しさん@お腹いっぱい。 2001/07/19(木)21:04 ID:??? AAS
厨房がソフトウェアを公開
↓
セキュリティホール満載
↓
指摘
↓
逆ギレ
↓
ネタ(゚д゚)ウマー
7: 名無しさん@お腹いっぱい。 [0] 2001/07/25(水)10:48 ID:??? AAS
終わったようだ・・・
8: 名無しさん@お腹いっぱい。 2001/07/25(水)11:15 ID:??? AAS
サイト自体があぼーんされたようだけど
素直に受け入れていれば良いものを、
9: 名無しさん@お腹いっぱい。 2001/07/25(水)11:40 ID:smbEF.cM(1) AAS
最高に・・・(・∀・)イイ!!
外部リンク:kame.tadaima.com
10: 加奈子 [0] 2001/07/25(水)13:15 ID:??? AAS
セキュリティは重要よねん♪夏休みであらしさん多いし〜♪♪(はぁと)
11: 名無しさん@お腹いっぱい。 [0] 2001/07/26(木)23:39 ID:??? AAS
C-BOARD配布停止してたのね
外部リンク:skully.lib.net
外部リンク:www.nk.rim.or.jp
12(2): 名無しさん@お腹いっぱい。 2001/08/23(木)02:41 ID:FYJUZ71g(1) AAS
外部リンク:php.s3.to
What's NewでTHIS WEB SITE IS HACKED BY CHINESEと
出ているけど、マジかなぁ?
13: 名無しさん@お腹いっぱい。 2001/08/23(木)02:44 ID:??? AAS
>>12
本当だとしても span が閉じてないのがへぼいな。
14: 名無しさん@お腹いっぱい。 2001/08/23(木)02:52 ID:??? AAS
しかし、ウェブプログラミングほどセキュリティーホール作りやすい物もないのに、その意識が低いのは何故かね?
重要度が低い物ばっかだからかな?
15(1): 名無しさん@お腹いっぱい。 2001/08/23(木)03:26 ID:??? AAS
ところで、モナーとギコはlinux板で使われてるから・・ゾヌか!
16: 15 2001/08/23(木)03:27 ID:??? AAS
すみませぬ・・誤爆
17: JAPU@このご時世、あゆ萌えとか言ってたらヤバイ? [AyuMoe@REMOVE-THIS-PART.JAPU.ORG] 2001/08/23(木)05:26 ID:??? AAS
うぅ... 原稿書いていたらこんな時間に。
他と比べてセキュリティに関して書かれていることが少ないし、そもそもCGIプログラマの平均レベルが低いからでは。(もちろん、すごい人も多いんだけど。) やっぱ地道に啓蒙していくしかないのかな。
----
WebProgとはちょっと外れるけど、こういうペーパー出てるので、読んでおくと良いかも。
Paper: HTML Form Protocol Attack
外部リンク:www.remote.org
18: 名無しさん@お腹いっぱい。 [sage ] 2001/08/23(木)09:53 ID:??? AAS
何これ? こええなー、がんばって読んでみよう (悲
あんがと>JAPUたん あゆ萌えはダメ! :-)
19: JAPU@じゃ、スクルド萌えってことで。B-) [dsge] 2001/08/23(木)20:36 ID:??? AAS
簡単に言えば、悪意あるフォームから SMTP / NNTP / IRC などのテキストプロトコルに対して送信できちゃうってことです。
気をつけなくちゃいけないのは、サーバ・ブラウザの作者とユーザなんで、ちょっとWebProgとは外れちゃいますけどね。
20(2): 名無しさん@お腹いっぱい。 2001/08/24(金)02:10 ID:??? AAS
>>12
BBSに管理人のコメントがあったけど、レベルの低さに閉口だな。
いくつかスクリプト配布してるみたいだけど、あれも全部ダメなんだろうな。
21(2): 名無しさん@お腹いっぱい。 2001/08/24(金)04:45 ID:??? AAS
クッキーってクライアントが申告する物だから比較的簡単に自分で値を設定できると思うんですけど、この考えは間違ってますか?
それ自体セキュリティーホールには成り得ないけれども、CGI等で認証後IDをクッキーで引き回してるだけのところとかあるんで大丈夫か?と思いまして。
22(1): JAPU@でも、最近は千影たんが気になるんです [AyuMoe@REMOVE-THIS-PART.JAPU.ORG] 2001/08/24(金)05:23 ID:??? AAS
>>21
その考えて正しいです。
QUERY_STRING とか、クッキーの値はまず疑うことから始めなくちゃダメよん。いくらでも自由に設定出来ちゃうから。
23: 21 2001/08/24(金)06:05 ID:??? AAS
>>22
ですよね。
ありがとうございます。うやむやが解消されました。
でも、やっぱ巷にあふれるCGIってセキュリティー甘いですね。
どもです。
24: 名無しさん@お腹いっぱい。 2001/08/24(金)06:25 ID:ULL5uXLk(1/2) AAS
>>20
俺も掲示板の管理人コメント見て藁った。
面倒くさかったら、GETメソッドはダメ、
POSTメソッドでもリンク元が自分のとこじゃ
ないとダメとか自分のIP以外はダメとか
何らかの手段があると思うんだけどね。
25(1): 名無しさん@お腹いっぱい。 [age] 2001/08/24(金)07:21 ID:??? AAS
すいません。
>>POSTメソッドでもリンク元が自分のとこじゃないとダメ
これについて解決法が無くて困っています。
一般的にはHTTP_REFERERを見て自サイトかどうか確認しますよね?
でもHTTP_REFERERはクライアント申告だから偽れますよね?
なので困ってます。
昔はCookieで何とかなると思ってたんですけどクッキーもクライアント申告なんですよね。
REFERERとCOOKIEの実装で大概大丈夫だとは思いますが、中途半端な実装であることは間違いないですよね。
今まで中途半端な実装できたんですけど、解決策お持ちの方がいらっしゃったら教えてください。
26(1): 名無しさん@お腹いっぱい。 2001/08/24(金)17:56 ID:cjfCNev.(1/2) AAS
>>20
今のページ、派手に書き換わってるな・・
保存しとこ。
外部リンク:php.s3.to
なぜかShift-JIS。
27(1): 名無しさん@お腹いっぱい。 2001/08/24(金)18:02 ID:cjfCNev.(2/2) AAS
>>25
いたずら「しにくく」することは出来るけどね。。
完全な実装は無理だと思う
28(1): 名無しさん@お腹いっぱい。 2001/08/24(金)18:41 ID:ULL5uXLk(2/2) AAS
>>26
俺も保存した。ここまで来ると完全な犯罪だね(w
>>27
すっげー面倒くさいが、
ログイン→認証成功→認証成功したメールアドレス宛に
本ログイン用URLを送信→本ログイン→書き込み
最初のログイン時にIPとセッションIDを作成して保存して、
そのセッションIDを含めたURLで本ログイン。
もちろん、最初のログイン時と本ログイン時のIPが
同一であるかどうかをチェック。
これでどうだろ? 俺はイヤだ・・・
29(1): 名無しさん@お腹いっぱい。 [sage ] 2001/08/24(金)20:43 ID:??? AAS
毎回hiddenでランダムキー吐き出して認証するとか
ダサいなー。。 (-_-
30: 名無しさん@お腹いっぱい。 [0] 2001/08/24(金)21:00 ID:??? AAS
とりあえず、あれだけ派手にやられたってことで
あのサイトの管理人のスクリプトは危険性大という
ことでよろしいのでしょうか?
31(1): 名無しさん@お腹いっぱい。 [sage ] 2001/08/24(金)21:18 ID:??? AAS
しかし、サーバー管理者ももう少し頑張って欲しいと思うね
適当にApache走らせてcgiに馬鹿みたいな権限与えてるサーバーが
何と多い事か、、、
しかも金取って運営してる有料サーバーだと言うから呆れてしまう
そんなサーバーでは全ユーザーのファイルunlinkする事も簡単に
出来てしまうだろう。
そんな所は絶対使う気になれないよ
32: 名無しさん@お腹いっぱい。 2001/08/24(金)23:49 ID:??? AAS
>>28 >>29
もうちょっとスマートで現実的な方法ないですかね?
あきらめてbasic認証するか。
あんなページ書き換えて、なんか楽しいんですかね?
踏み台用にこっそりアカ持っとくってならわかるんだけど・・・。
あそこを書き換えるのが最終目標ってのがなんか気まぐれ犯行ですね。
練習ってのが妥当な解釈でしょうか?
33(3): 名無しさん@お腹いっぱい。 [sage ] 2001/08/25(土)01:49 ID:??? AAS
>>31
激同
あったかい管理人になると「ユーザー同士は信頼関係で成り立ってますから」
とか、ほんとポカポカしたメッセージをくれたりするんだが(俺が実際喰らった)
こう言う鯖にはこれまたほんわかしたユーザーがevalてんこ盛りの
ファイラー置いてたりして、後者の存在する確立は限りなく100%に近いんだよね
こうなるとベーシック認証も糞もあったもんじゃ無くてテスト以外には
とてもじゃないけど使う気にならない。
むしろCGI止めて欲しいよね。借りるの止めるけど w
34: 名無しさん@お腹いっぱい。 [0] 2001/08/25(土)01:57 ID:??? AAS
今度は写真の色がちょっと変わったね。
自分のサイトに興味がないんだか・・・
35: 33 [sage ] 2001/08/25(土)02:03 ID:??? AAS
因みに中華鯖でUNIX互換使ってる所は(何故かNTが多いのだが w)
***非常に***そう言う所が多いです。
なま温かい目で見守ってやりましょう
36: 名無しさん@お腹いっぱい。 [0] 2001/08/25(土)02:38 ID:??? AAS
↑ 知ったかぶり厨房が居るね プププ
お前が気にする程管理人は馬鹿じゃ無いから言ってみな
それとも薄っぺらい能書きがばれるのが嫌かい pupu
37: 33 2001/08/25(土)02:57 ID:??? AAS
ん? 俺の事を言ってるのかい
残念ながら、ケビンニトミックに憧れている若き戦士に捧げる
戦術は僕にはにゃぃ ヽ(´ー`)ノ
cgiのセキュリティーに付いて知りたいならJAPUさんのサイト(一番上を良く見てね :−D )
や他のコマンドや汚染チェックの方法なんかを調べてみれば良い
中華鯖と言ったのが解りにくなったなら、服務器、免費、空間、UNIX、(木富)案、上載
なんかのKEYで探してみるといい、彼等が色んなスクリプトを動かしてるのが解るだろう
実は俺も知ったかぶりしてるだけなんで、これ以上聞かないでくれ (わ
38: 33 2001/08/25(土)03:01 ID:??? AAS
s/ケビンニトミック/ケビンミトニック/; 寝よ、、
39: 名無しさん@お腹いっぱい。 2001/08/25(土)07:08 ID:??? AAS
> ■ 2001/08/25(Sat) 05:25
> なんっつたりして。ネタです
そして苦しいイイワケ
40: 名無しさん@お腹いっぱい。 2001/08/25(土)08:55 ID:??? AAS
暑いねえ
まだセミが鳴いてるわ (ワラ
後1週間 か・・・
41: 名無しさん@お腹いっぱい。 2001/08/25(土)09:17 ID:??? AAS
夏厨沸きまくりで2chも閉鎖らしいな
あーなむなむ
42: 名無しさん@お腹いっぱい。 01/08/29 05:27 ID:1UTTw6kk(1/3) AAS
ASPやPHP4はセッション管理が可能ですが、具体的にどのようにしているのでしょう?
Cookieを使ってるのは分かるのですが、自分のクッキーを発行されるたびに見ててもいまいち理解できないです。
知ってる人がいたら教えてください。
43: 名無しさん@お腹いっぱい。 01/08/29 05:37 ID:1UTTw6kk(2/3) AAS
すいません。
PHP4やASPは言語レベルでセッション管理の機能が提供されているのですね・・・。
Cookieとの関連が分からないのはあたりまえで、そもそも関連が無いんですね。
セッション管理のような概念の物をCで実装するにはどのような仕組みを実装すればいいのでしょうか?
ある程度セッションが正しく張れている保証が欲しいので単純なクッキーでは不安です。
良い方法は無いものでしょうか?
44: 名無しさん@お腹いっぱい。 01/08/29 06:17 ID:1UTTw6kk(3/3) AAS
外部リンク[cgi]:corn.2ch.net
があるけど解決して無いですね。
45(2): 名無しさん@お腹いっぱい。 01/08/30 23:22 ID:Nfn/L6PE(1) AAS
外部リンク:php.s3.to
書き換えられている模様
ムーノーっぽくなっちゃってます
46: 名無しさん@お腹いっぱい。 [0] 01/08/31 00:28 ID:ui51vdtk(1) AAS
>45
これだけやられているのに全然防備しようという意識がないみたいですね。
これほどセキュリティーに鈍感な管理人なのに掲示板でオンライン
予約システムの構築を依頼している人がいて藁った。
自作自演だろうか? こんな管理人が作った予約システムなんて
個人データの流出が頻繁にありそうで怖いぞ。
47: 名無しさん@お腹いっぱい。 01/08/31 01:27 ID:bQeiim3I(1) AAS
>>45
あー、見れなかった。今みたらいつものTOPだった。
前の書き換えは管理人のジサクジエンってBBSに
書いてあったけど、また自分でやってんのかな・・・?
それとも、マジハクされたのを言い訳してるだけ?
あのページ、管理人がよく分からん。
48: 名無しさん@お腹いっぱい。 01/08/31 02:10 ID:PZKcVyBA(1) AAS
最近見つけた面白い秘孔。
open(OUT,">./charalog/$in{'id'}.cgi");
で、北斗神拳スクリプト。
外部リンク:www8.tok2.com
49: 名無しさん@お腹いっぱい。 01/08/31 06:09 ID:xPEo4xH2(1/3) AAS
やっと気付いたみたいだな、、SSIもこええなー
50: と言うか・・・・ [0] 01/08/31 07:05 ID:.jMWjKYg(1) AAS
方法も論ぜずに、php.s3.to/は糞だの、スクリプトもやばいねだの
言うのはここが2chだからか?
それともスクリプトクレクレ君しか見てないのかこの板は・・・
こんなこと言うと降臨とか言われるんだよなー
いやちょっと気になったんでね 鯛は無いです
51(1): 名無しさん@お腹いっぱい。 01/08/31 11:03 ID:pfDOYTd.(1) AAS
ここで方法を論じたとしてその方法がここに書かれたら
どうなるか想像できない?
52: 名無しさん@お腹いっぱい。 01/08/31 11:11 ID:D5v3hjIY(1) AAS
php.s3.to管理人現る。
53(1): と言うか・・・・ 01/08/31 14:48 ID:xPEo4xH2(2/3) AAS
>>51
うん、まあ良く考えればそうよね。
ちょっとくらい漠然とした話でも出来ないかなと思ったからさ
でも上の方読んで分かったよ w
結局この板を読んでる人はまともな人が多そうだけど
書き込むの批判屋と厨房とクレクレ君が圧倒的に多いんだよね
しかしpass抜かれてるだろうに、余裕だね。。。
あ、もう辞めるっす (^^
54: と言うか・・・・ 01/08/31 14:52 ID:xPEo4xH2(3/3) AAS
オカマか漏れは。。。 =>そうだよね
55(1): 名無しさん@お腹いっぱい。 01/09/01 19:12 ID:O2LnlNbc(1/2) AAS
>53
>しかしpass抜かれてるだろうに、余裕だね。。。
これなんだけど、
外部リンク[php]:php.s3.to
このsource.phpのソース見てみると、(外部リンク[php]:php.s3.to)
> if (ereg("^[^\.]*(\.php3?|\.inc)$",$QUERY_STRING)) {
こんな感じで汚染チェックらしきことやってるんだけど、
先頭が "/"の場合を考えてないから、
絶対パス(/home/php/public_html/・・・)で指定すれば、
.phpであれば何でもソースが見れちゃうわけ。
で、
外部リンク[php]:php.s3.to
こんな感じで逝けば、ソースが・・・
なぜかパスワードは生だし。。
56: 55 01/09/01 19:15 ID:O2LnlNbc(2/2) AAS
追記。
外部リンク[php]:php.s3.to
みたいに、存在しないものを開こうとすると、、
エラーが出る(ってこのあたりもエラー処理やってないし、ダサいけど)
から、その中にフルパスが書かれてるし。
57: 名無しさん@お腹いっぱい。 01/09/01 19:51 ID:EyspkUdI(1/2) AAS
なんでそんな事を。。。
58: 名無しさん@お腹いっぱい。 01/09/01 19:58 ID:qTmlYOPM(1) AAS
こうして今日も名無しは人の為に無償で働くのであった。
59: 名無しさん@お腹いっぱい。 01/09/01 20:02 ID:EyspkUdI(2/2) AAS
一応メールにて報告しておきました。
60: 名無しさん@お腹いっぱい。 [0] 01/09/02 00:13 ID:EuE1F3p.(1/2) AAS
少し上の方でも書かれてますが、同じサーバーのユーザー(と思われる)
に困っています。初めは穴の有るスクリプトが原因と思われるファイルの
削除などの被害だったんですが、今はどうやらcgiでやられている様です
しょうも無い閑古鳥サイトなのに。。。。 (鬱
それで、自分なりに色々考えてリンクを貼って本体は別のディレクトリに
置いたり、普段はパミを落しておいて書き換え時だけchmodしたりして
みたんですが、決定的では無いです
て言うか人のスペースを変なファイルでパンパンにすんなーー!!
setuExecされて無いサーバーで、自分のファイルを守る手段は
無いでしょうか? 防御方法を話しませんか
あ、そのしょうも無いWEBは現在安全なサーバーに引っ越したです ^^
61: 名無しさん@お腹いっぱい。 01/09/02 18:05 ID:EuE1F3p.(2/2) AAS
今読み返してみたけど、良く考えたらsuidされないって事は
誰のスクリプトで同じgid.uidで動いてる(httpとか?)んだから
無理に決まってますね、何をトチ狂った事言ってるんだろ。。
サーバー屋さんにもポリシーとか有ると思うんですけど、
suidしないでCGI走らせてるのは、何か意味があるのかな
一昔前はsuidする事で色々不具合が有ったとか聞きましたけど
62: 名無しさん@お腹いっぱい。 01/09/03 13:04 ID:q4PFiNww(1) AAS
上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール)
の管理方法は固そうじゃ無いですか?
入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key
+環境変数色々で管理してる様です。よってクッキーも不要
昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から
このシステムでした。個人的にかなり信頼してるんですが
63: 名無しさん@お腹いっぱい。 01/09/03 13:04 ID:5EXVIAGY(1) AAS
上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール)
の管理方法は固そうじゃ無いですか?
入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key
+環境変数色々で管理してる様です。よってクッキーも不要
昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から
このシステムでした。個人的にかなり信頼してるんですが
上下前次1-新書関写板覧索設栞歴
あと 199 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.324s*