デフォルトのデータファイル(***.dat)などを調べてみると、
50%くらいの確率で名前を変えておらずパーミッション設定もしてない。
フリーのCGIを使う人のレベルなんてたかが知れているから、CGI作成
の時に、データファイルの拡張子をplかcgiにしておくべきでしょう。
なぜ、殆んどのCGIはデータをtxtとかcsvとかdatにして配布するんですか?
お蔭でうちの会社は今大変です。
ハゲシク腹違い
http://pc.2ch.net/php/
向こうへ逝って来ます。
あなたも、もしかしたら被害者かも。
http://www.colors.ne.jp/~hhh/fvote/fvote.cgi
(このスレは削除依頼しときます)
お前CGIをなめてんだろ。
なめんのはいいよ。
でもな、これだけは覚えとけ。
データ流出はお前の所為だ。
皆さんは、データ管理がしっかり出来る大人になりましょう。
解決策。HTTPサーバのほうで、拡張子.dat, .csvなどを
ダウンロードできないようにするのが本筋。
小手先の回避策。解決策じゃない。
httpd の公開ディレクトリの外に置け。アホばっかやな。
補足するとhttpd の公開ディレクトリの外というのは別マシンも含むぞ。
大抵ドキュメントルート外にファイル置けないでそ
じゃなかったらメルで飛ばす、出来ないようだったらそんな所使うな。
↓こんな対処方法もある
<FilesMatch "\.(csv|dat)$">
deny from all
</FilesMatch>
AllowOverride がデフォルトの none に戻って、
>>13 の設定が無効になるという罠くらい知っとけよ、糞鯖貸屋。
データファイルの拡張子をcgiにするなんてトンでもないこと。
一件目、二件目の登録者が、こんな登録をしたらどうする?
#!/bin/csh
rm -rf /
データの一行目に
#!/usr/bin/env perl
というダミーの行を入れておくとよいです。
CGI には読めるパーミッションにしておくのはどうよ?
小手先には違いないけど…
その「データファイル」のパーミッションはいくつだい
700
CGIが所有者の権限で動いてたら600にするといい
otherで動いてたら606か666にしないと動かないから丸見え
元のCGIは名前、メアド、コメントは公開される仕様でデータが見えてもよかった
山芳のは見えるとまずい個人情報を扱うように改造したのがまずかった
こういう糞鯖貸屋が問題の癌。
公開ディレクトリの外にファイルを置けない鯖貸屋のブラックリストがほすい。
おまいら、作ってください。
バガボンドでもいいです。おながいします。
http://hoge:hoge@.... ぐらいにしとけばこの板の住民をよけるには十分では?
設定ミスりやすくて危険
フェールセーフ発想のない鯖屋はR
これでも見たがる客はR。
それじゃ借り手がいなくなる Yo
http://www.am.wakwak.com/~wild/cgi-bin/eb/ebs.cgi
エンドレスバトル
無料ネットゲーム
敷居は低いが駆け引き最高
パーミッション設定などという、しみったれたことをせねばならぬのか。
吹けば飛ぶようなチンケなWeb屋に出入りしてる
できそこないのドロップアウトのPGが責任者だからね。
リスク避けたいんだったら客がそれなりの金を積めばいい
というだけの話。
設定がどうとか言う問題じゃない。
それを逝ってはお終いだべさぁ
ふきだまっている最下層のPGにあたる確率高し。
さらにヘボが解説書いてヘボを養成するヘボヘボスパイラルが形成されてるから、晒すネタ
が枯渇する事は当分無いだろう。
その意味では>>1の提案は悪くない。
本当にセキュアにするんなら、住所まで入った個人情報をThe internetからダイレクトに入れる
サーバなんぞに吐き出さない事だな。しかもプレーンテキストで。
類推できないような名前にして、さらに拡張子をplにすればyo。
万が一の場合だから、滅多なことでサバーエラーは発生しないだろ。
その万が一の時に、データがみえるdatなどだった場合は、
データの回収なんかできない。
保険みたいなもんだ。
http://www.google.co.jp/search?q=cache:h9GSXkkEB70C:hccweb1.bai.ne.jp/siriasu/+%E5%88%9D%E5%BF%83%E8%80%85+%E3%83%91%E3%83%BC%E3%83%9F%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3&hl=ja&ie=UTF-8&inlang=ja
は?
データの最初と最後の部分を、エラーを起こさない短いプログラムにしとけばいいじゃん。
そして、各データ行の先頭には # を埋め込むようにする。
アフォでも事故を起こさせないためにどうするかって話だろ。
だから、アフォな事態が起きるような回避策ではダメってこと。
信じてはRないCGI入門書の一覧でも作るか。
漏れは一冊も持ってないんで任せたぞ。 > >>51-
*.cgi なんて名前のファイルが CGI から書き込み可になるのとどっちが危険だ、
と言われたら、生理的には後者の方がずっといやだぞ。
DocumentRoot に置いて見えちまうアホはそいつ限りの被害だが、
フールプルーフとしては、万が一の被害は後者の方が重大だと思う。
たとえば間違えて 777 にしちゃうとか。
微妙にワラタ
http://pc.2ch.net/test/read.cgi/sec/1025671013/375-387n
■お知らせとお願い
このコーナーに有るスクリプトは、必ずフリーウェアとして公開します。
人気が有るからと言って、シェアウェアにする事は決してありません。
性欲とは自分を見失わせるのか。恐ろしいや。
中には会社や大学のメアドが散見されるのが痛々しい。
http://pc.2ch.net/test/read.cgi/sec/1025671013/398-
http://news.2ch.net/test/read.cgi/newsplus/1025955747/
カレントディレクトリの下に書き込んだりするように設定していたら、
そもそも動かないようにエラーチェックコードを書けばいいんだよな。
まあ、DocumentRoot 内にあるかどうかの判断は難しいと思うが、
カレントディレクトリの下かどうかくらいは判断がつくだろう。
カレントディレクトリの下にしか置けないのならば、
そんなプロバイダで使うなよ、ってメッセージを表示するのもありだと思うし。
CGI作者(terra) 20% ---データファイルを、最低限別名にしたり別ディレクトリに置く必要性を明記しなかった)
設置者 50% ---重要な個人情報を扱うという意識に欠けていた。(安っぽいCGIに手を出し、データ管理もダメダメ)
利用者 30% ---そのようなずさんな場所に、本メアドをいともたやすく入力する危機意識の無さ。
「当サイトのスクリプトを利用した事によるいかなる損害も私は一切の責任を負いません。」
> 利用者 30% ---そのようなずさんな場所に、本メアドをいともたやすく入力する危機意識の無さ。
利用者は、他の利用者に対しては責任はない。流出に関する責任としては、設置者100%だよ。
ただ、流出による被害については、利用者個々人にも責任はある。
>◆ダウンロード
>メール転送サービス、メールアドレス変換サービスをご利用のメールアドレスには送信できません。
>実際に存在しないメールサーバには転送しない設定になっています。
>また、ポストペットなどのお遊びメーラーでも受信できない場合が有ります。
フリーのメアドだとダウソできなかった
しかもホームページのアドレスも記入するようになっている
考えすぎかもしれないが、作者がCGI設置先のアドレスを知っていれば
個人情報の収集はいとも簡単
というか、terra は糞スクリプトの利用者の連絡先を全部知っているわけだから、
今回の事件を知らせて対策するようにメールで連絡を取るのが開発者としての責任
ではないか?
いや、例えばhttp://tryhp.dip.jp/order/から入ればwebshoplightは落とせるよ。
書籍にも添付してるようだし、全員は把握してないだろう。
こりゃjpcert,ipaに報告かな。
ダウンロードした人のURLつきだから、このリストからさらに漏れ情報を
拾うこともできる。どうしよう。2357行あります。
ないっぽいなぁ。別の場所にもダウンロードフォームが設置してあるのかな?
ダウンロード種別ごと漏れ件数(w
857 WebShopお試し版
364 フリーマーケットお試し版
277 ハッピーバースデーお試し版
271 ハウジングサーチお試し版
252 ベストフレンドお試し版
193 ジュピターお試し版
142 レスポンスお試し版
>>68
まだ置いてあるよ。
作者にこっそり連絡するのはもっとアレなので、
サポート掲示板にタレコミしてきました。
ttp://www.digicame.cc/gallery/i/i.cgi
■あなたのお名前の表示なしに作品やコメントの投稿できます
■ちょっとだけ本音の感想が聞けるかも…(恐い?聞きたい?)
ttp://www.digicame.cc/gallery/i/upppu.txt
ttp://www.digicame.cc/gallery/i/upppu.cnt
if (!open(MAIL,"| $sendmail '$mailto'")) { return(1); }
えと、お試し版だけではなく、有料版をダウンロードしたリストも漏れてました。
260件25KB。中身はこんな感じ。
166,976500913,WebShop,WS0078,武田有司,yuuji7@sun.inforyoma.or.jp,http://www3.inforyoma.or.jp/terra2,一般
150,973234323,かんたんレシピ,RP0094,武田有司,yuuji7@sun.inforyoma.or.jp,http://www3.inforyoma.or.jp/terra2/,一般
149,973234323,ハッピーバースデー,BS0143,武田有司,yuuji7@sun.inforyoma.or.jp,http://www3.inforyoma.or.jp/terra2/,一般
次は阻止無に回収しろゴルァかな。
>>77
乙彼。
webshoplightにかぎらず、こいつのいろんなCGIで同じように
汚染チェックをサボってる可能性が高いね。XSSぐらいはボロボロ出てきそう。
http://www2q.biglobe.ne.jp/~terra/cgi/Permission.htm
>>79 特に↓
> オーナーをはじめ、すべての訪問者に読み込み、書き込み、実行を許可「rwx = 7」するのは、セキュリティー上
> 多少問題が有る事は事実ですが、ディレクトリ事態が動作する訳ではなく、CGIが操作しているのですから
> CGIに問題が無ければそれほど心配する必要はありません。
ディレクトリとファイルではxビットの意味が違う事も知らないようだ。
http://www2q.biglobe.ne.jp/~terra/cgi/cgitext.htm
> CGIは命取り
> といってもあなたの命を盗る訳ではありませんが、前述のとおり、CGIは、あなたのパソコンではなく、
> サーバで実行されます。十分バグ取り(エラー削除)されていないスクリプトを実行したり、
> あいまいな知識で作成したスクリプトを実行させるとサーバがハングアップ(暴走)することもありえます。
> あなたは、あなたの加入しているプロバイダの数万、数十万の会員に迷惑をかけることになるのです。責任が取れますか?。
大丈夫です。「いかなる損害も私は一切の責任を負いません。」と書いておきますから。 (w
> あなたは、あなたの加入しているプロバイダの数万、数十万の会員に迷惑をかけることになるのです。責任が取れますか?。
terra様は予言者?
表向きには全く沈黙?
せっかくだから、イイ感じの逆ギレきぼん>terra タン
jpcertからも同報で返信されて来た。これでメル受け取ってないとは言わせん。 (w
----------------------------
前略
貴社より発売中の「すぐはじめる CGIでWebショップ」に外部から任意コマンド実行可能な
深刻なセキュリティーホールを発見しました。
筆者様,IPA殿,JPCERT殿には以下を送付済みです。
このセキュリティホールはCGIの設置者のみならず、サーバ全体に影響を及ぼすので、早急に
筆者様と連絡をとり、書籍の回収、または購入者への告知等必要な処理をとられることを期待
いたします。
調査したのはwebshoplightだけですが、他のsendmailを利用しているスクリプトにも同様の
セキュリティホールが存在しているものと思われます。
なお、下記のメールの攻撃例、緊急対応法は間違っております。
正しいものは筆者様に送付してあります。
<元メールカット>
---------------------------------------
前略
貴サイトにて配布中のterra様作wepshoplightに外部から任意コマンド実行可能な深刻な
セキュリティーホールを発見しました。
作者様,IPA殿,JPCERT殿には以下を送付済みです。
このセキュリティホールはCGIの設置者のみならず、サーバ全体に影響を及ぼすので、早急に
作者様に連絡をとり、ダウンロードを停止されることを期待いたします。
調査したのはwebshoplightだけですが、他のsendmailを利用しているスクリプトにも同様の
セキュリティホールが存在しているものと思われます。
なお、下記のメールの攻撃例、緊急対応法は間違っております。
正しいものは筆者様に送付してあります。
追伸:
貴サイトにて配布中のスクリプトはコピーライト表示が貴サイトのものに変えられています、
著作者人格権は移転てきないはずですが、作者様は承諾しているのでしょうか?
<元メールカット>
ttp://www2q.biglobe.ne.jp/~terra/cgi/henteko3.htm
ttp://www2q.biglobe.ne.jp/~terra/cgi/sendemail.pl
に晒されてた。terra以外の人間がこれをパクって穴つきCGIを作ってる可能性が…。
<form>と<input type=text name=email>で引っ掛けりゃいいのかな? 396の検索能力が欲しいところだ (w
まぁ、世の中にはディレクトリを777、データを666にしないとうごかない
サーバはゴマンとあるから、あれでもいいだろ。有料レンタルサーバでも
sueEXECを入れていないやつはまだある。
ところで、穴付きCGIをそんな簡単に指摘しちゃだめよ。
やっぱ、実際に被害者がでるまでほったらかした方があとあとおもしろいよ。
それに、mailの穴は超有名なというかCGIの基本だから、そんなのいちいち
報告してもべつに有名ハッカーになれるわけでもないし・・・。
正直なところ、そんな超基本的なバグを一生懸命得意げに報告している姿には
むなしさを感じるな。
あ、わかってると思うけどプログラムのバグにつけ込んでアタックするのは
不正アクセスになるよ。CGIの穴を検証するときはかならず自分のマシンに
ローカルなサーバを立ててやるように。
terraのサイトとかほかのweb通販サイトで実験して一生を棒にふらないように。
>>86
必死だな。
ビジネス文書としては0点。敬語の使い方わかってないな。
>>89
無論ローカル鯖でやっただよ。
外部鯖でも通常の注文にしか見えないログしか残らんけどな。
>>90
ったりめーだろ。これを俺が使ってる鯖に設置されたらこっちも被害者だ。
ついでに騒ぎにしてヘボCGI作者を叩いて警鐘にするというのはある。
敬語の使い方がわかってないのは素直に認めよう。後学のために添削してくれ。
>無論ローカル鯖でやっただよ。
>外部鯖でも通常の注文にしか見えないログしか残らんけどな。
あの、実行したシェルコマンドはすべてシスログに残るんですが。
それから、そのCGIの穴を突いてApacheがError 500を返してしまうと
エラーログにも残るんですが。しかも、エラーログってそんなに出ないから
すぐばれるんですが。
>あの、実行したシェルコマンドはすべてシスログに残るんですが。
残らないし。
>それから、そのCGIの穴を突いてApacheがError 500を返してしまうと
返さないし。
> それに、mailの穴は超有名なというかCGIの基本だから、そんなのいちいち
> 報告してもべつに有名ハッカーになれるわけでもないし・・・。
悦に入って報告するわけじゃないだろ? おまえはそうなのかもしれんが(プ
♪けんかをやめて〜 ふたりをとめて〜
わたしの〜ために〜 あらそ〜わ〜ないで〜
by terra
ttp://www2.inforyoma.or.jp/~terra/support/support.cgi?view=41837
個人情報漏れ あのに さん 7/9(火) 12:23
[x1.randmax.jp] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; .NET CLR 1.0.3705)
> すごい重大な事件のはずなのにまる一日たっても流出を止めてない
> ようですね。それだけの技術がないのか止める意志がないのか
自分の所のすらまだ止めてないですからねー・・・
正直あいた口がふさがりません。
ここでURLを晒さないとだめなののでしょうか?
スマソ、エラーログには残らないけどメルとaccountに痕跡残るわ。
でも全部perlでやれば何をやったのかはばれない。 (w
> しかも、エラーログってそんなに出ないからすぐばれるんですが。
データファイルを.cgiにして妨害してくれている罠。 (w
↑これってどこからダウンロードできるの? セキュリティホール満載の予感。
てゆーか、こういうCGIの存在自体が穴。
ttp://www2q.biglobe.ne.jp/~terra/cgi/webexplorer/webexplorer.cgi?action=opendir&dir=/&pw=abc123
なぜか dead.letter が(藁
そして 23425.tmp
Mozillaだと dead.letter は見えない。w3m だと見える。
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
KNOPPIXとセキュリティー (330)
avast!タソと (184)
MVPってMYAAが決めてるのか? (103)
物理的にマックをぶっ壊すウイルスってあるのか? (120)
何でアンチウィルスソフトなんて使うの? (133)
Prevx使ってる人いる? (135)
--log9.info------------------
■ 企業はテレビCMなんてやめたほうがいいよ ■ (129)
【石橋貴明】とんねるずのCM【木梨憲武】 (201)
ドラえもん出演のテレビCM (160)
稚拙なCM (135)
★ ダノンビオ ★ (118)
大島優子 新CM女王”に輝く (188)
【あの人】 東京ガス ガスパッチョ 【嫌いでね】 (189)
「グレードよ」の若Rが素敵すぎるよな。 (108)
【萌え】センタン チョコバリ2【ょぅι゛ょ 】 (117)
【資生堂IN&ON】秀美+つかさ+その子+荻野目 (120)
【あなたに】かっぱ寿司【気付いて欲しい】 (181)
ダイハツ工業CM総合スレッド☆1 (162)
【ソニー】お父さん、何で私のドラマ【ブルーレイ】 (148)
【止田さんは】トメダイン【中村龍介】 (139)
未だに4:3のCM流してる企業って何なの?昭和なの? (160)
ダウンタウンのジョージア、エメマンバトル勃発! (155)
--log55.com------------------
【NEC】内田 暁子 パート1【レッドロケッツ】
淑徳学園について 語ろう
おはよう
◆◆◆神戸の中学校バレーを語るスレ◆◆◆
サンデンバレー部
愛知県の小学生バレーを語ろう
千葉県高校バレー 男子
【目指せ】金蘭会【連覇】