1read 100read
2011年10月1期WebProgセキュリティースレッド
TOP カテ一覧 スレ一覧 削除依頼 ▼
・ 次のスレ
新しい掲示板の仕様を考える 0からはじめるperl 匿名プロクシは、止められないのか・・。 Web Develpoers Conference
セキュリティースレッド
1 :01/07/13 〜 最終レス :10/04/20 ウェブプログラミング関係のセキュリティー関連スレッド http://www.japu.org/sa/ http://www.lac.co.jp/security/information/Cgisecurity/ http://www.w3.org/Security/faq/001031wwwsfj.ja.sjis.html http://www.cert.org/tech_tips/cgi_metacharacters.html http://www.w3.org/Security/
2 : ニヤリッ
3 : セッション管理の脆弱性 http://www.japu.org/cgi/security/session_vulnerability.html 刑事 or 民事? http://www.japu.org/sa/
4 : http://www.small-j.com/small/ |また、某ホームページで記載されている件ですが |「不正アクセス行為の禁止等に関する法律」 |(2000/02/13施行) |の一部に該当するおそれがあると思われます。(不正アクセスを助長する行為) わざわざ自分の馬鹿さ加減を世界に公開しなくてもいいのに。
5 : これはさらしageOK?
6 : 厨房がソフトウェアを公開 ↓ セキュリティホール満載 ↓ 指摘 ↓ 逆ギレ ↓ ネタ(゚д゚)ウマー
7 : 終わったようだ・・・
8 : サイト自体があぼーんされたようだけど 素直に受け入れていれば良いものを、
9 : 最高に・・・(・∀・)イイ!! http://kame.tadaima.com/2ch/
10 : セキュリティは重要よねん♪夏休みであらしさん多いし〜♪♪(はぁと)
11 : C-BOARD配布停止してたのね http://skully.lib.net/c-board.shtml http://www.nk.rim.or.jp/~t_kimata/cgi/
12 : ttp://php.s3.to/ What's NewでTHIS WEB SITE IS HACKED BY CHINESEと 出ているけど、マジかなぁ?
13 : >>12 本当だとしても span が閉じてないのがへぼいな。
14 : しかし、ウェブプログラミングほどセキュリティーホール作りやすい物もないのに、その意識が低いのは何故かね? 重要度が低い物ばっかだからかな?
15 : ところで、モナーとギコはlinux板で使われてるから・・ゾヌか!
16 : すみませぬ・・誤爆
17 : うぅ... 原稿書いていたらこんな時間に。 他と比べてセキュリティに関して書かれていることが少ないし、そもそもCGIプログラマの平均レベルが低いからでは。(もちろん、すごい人も多いんだけど。) やっぱ地道に啓蒙していくしかないのかな。 ---- WebProgとはちょっと外れるけど、こういうペーパー出てるので、読んでおくと良いかも。 Paper: HTML Form Protocol Attack http://www.remote.org/jochen/sec/hfpa/
18 : 何これ? こええなー、がんばって読んでみよう (悲 あんがと>JAPUたん あゆ萌えはダメ! :-)
19 : 簡単に言えば、悪意あるフォームから SMTP / NNTP / IRC などのテキストプロトコルに対して送信できちゃうってことです。 気をつけなくちゃいけないのは、サーバ・ブラウザの作者とユーザなんで、ちょっとWebProgとは外れちゃいますけどね。
20 : >>12 BBSに管理人のコメントがあったけど、レベルの低さに閉口だな。 いくつかスクリプト配布してるみたいだけど、あれも全部ダメなんだろうな。
21 : クッキーってクライアントが申告する物だから比較的簡単に自分で値を設定できると思うんですけど、この考えは間違ってますか? それ自体セキュリティーホールには成り得ないけれども、CGI等で認証後IDをクッキーで引き回してるだけのところとかあるんで大丈夫か?と思いまして。
22 : >>21 その考えて正しいです。 QUERY_STRING とか、クッキーの値はまず疑うことから始めなくちゃダメよん。いくらでも自由に設定出来ちゃうから。
23 : >>22 ですよね。 ありがとうございます。うやむやが解消されました。 でも、やっぱ巷にあふれるCGIってセキュリティー甘いですね。 どもです。
24 : >>20 俺も掲示板の管理人コメント見て藁った。 面倒くさかったら、GETメソッドはダメ、 POSTメソッドでもリンク元が自分のとこじゃ ないとダメとか自分のIP以外はダメとか 何らかの手段があると思うんだけどね。
25 : すいません。 >>POSTメソッドでもリンク元が自分のとこじゃないとダメ これについて解決法が無くて困っています。 一般的にはHTTP_REFERERを見て自サイトかどうか確認しますよね? でもHTTP_REFERERはクライアント申告だから偽れますよね? なので困ってます。 昔はCookieで何とかなると思ってたんですけどクッキーもクライアント申告なんですよね。 REFERERとCOOKIEの実装で大概大丈夫だとは思いますが、中途半端な実装であることは間違いないですよね。 今まで中途半端な実装できたんですけど、解決策お持ちの方がいらっしゃったら教えてください。
26 : >>20 今のページ、派手に書き換わってるな・・ 保存しとこ。 ttp://php.s3.to/ なぜかShift-JIS。
27 : >>25 いたずら「しにくく」することは出来るけどね。。 完全な実装は無理だと思う
28 : >>26 俺も保存した。ここまで来ると完全な犯罪だね(w >>27 すっげー面倒くさいが、 ログイン→認証成功→認証成功したメールアドレス宛に 本ログイン用URLを送信→本ログイン→書き込み 最初のログイン時にIPとセッションIDを作成して保存して、 そのセッションIDを含めたURLで本ログイン。 もちろん、最初のログイン時と本ログイン時のIPが 同一であるかどうかをチェック。 これでどうだろ? 俺はイヤだ・・・
29 : 毎回hiddenでランダムキー吐き出して認証するとか ダサいなー。。 (-_-
30 : とりあえず、あれだけ派手にやられたってことで あのサイトの管理人のスクリプトは危険性大という ことでよろしいのでしょうか?
31 : しかし、サーバー管理者ももう少し頑張って欲しいと思うね 適当にApache走らせてcgiに馬鹿みたいな権限与えてるサーバーが 何と多い事か、、、 しかも金取って運営してる有料サーバーだと言うから呆れてしまう そんなサーバーでは全ユーザーのファイルunlinkする事も簡単に 出来てしまうだろう。 そんな所は絶対使う気になれないよ
32 : >>28, >>29 もうちょっとスマートで現実的な方法ないですかね? あきらめてbasic認証するか。 あんなページ書き換えて、なんか楽しいんですかね? 踏み台用にこっそりアカ持っとくってならわかるんだけど・・・。 あそこを書き換えるのが最終目標ってのがなんか気まぐれ犯行ですね。 練習ってのが妥当な解釈でしょうか?
33 : >>31 激同 あったかい管理人になると「ユーザー同士は信頼関係で成り立ってますから」 とか、ほんとポカポカしたメッセージをくれたりするんだが(俺が実際喰らった) こう言う鯖にはこれまたほんわかしたユーザーがevalてんこ盛りの ファイラー置いてたりして、後者の存在する確立は限りなく100%に近いんだよね こうなるとベーシック認証も糞もあったもんじゃ無くてテスト以外には とてもじゃないけど使う気にならない。 むしろCGI止めて欲しいよね。借りるの止めるけど w
34 : 今度は写真の色がちょっと変わったね。 自分のサイトに興味がないんだか・・・
35 : 因みに中華鯖でUNIX互換使ってる所は(何故かNTが多いのだが w) ***非常に***そう言う所が多いです。 なま温かい目で見守ってやりましょう
36 : ↑ 知ったかぶり厨房が居るね プププ お前が気にする程管理人は馬鹿じゃ無いから言ってみな それとも薄っぺらい能書きがばれるのが嫌かい pupu
37 : ん? 俺の事を言ってるのかい 残念ながら、ケビンニトミックに憧れている若き戦士に捧げる 戦術は僕にはにゃぃ ヽ(´ー`)ノ cgiのセキュリティーに付いて知りたいならJAPUさんのサイト(一番上を良く見てね :−D ) や他のコマンドや汚染チェックの方法なんかを調べてみれば良い 中華鯖と言ったのが解りにくなったなら、服務器、免費、空間、UNIX、(木富)案、上載 なんかのKEYで探してみるといい、彼等が色んなスクリプトを動かしてるのが解るだろう 実は俺も知ったかぶりしてるだけなんで、これ以上聞かないでくれ (わ
38 : s/ケビンニトミック/ケビンミトニック/; 寝よ、、
39 : > ■ 2001/08/25(Sat) 05:25 > なんっつたりして。ネタです そして苦しいイイワケ
40 : 暑いねえ まだセミが鳴いてるわ (ワラ 後1週間 か・・・
41 : 夏厨沸きまくりで2chも閉鎖らしいな あーなむなむ
42 : ASPやPHP4はセッション管理が可能ですが、具体的にどのようにしているのでしょう? Cookieを使ってるのは分かるのですが、自分のクッキーを発行されるたびに見ててもいまいち理解できないです。 知ってる人がいたら教えてください。
43 : すいません。 PHP4やASPは言語レベルでセッション管理の機能が提供されているのですね・・・。 Cookieとの関連が分からないのはあたりまえで、そもそも関連が無いんですね。 セッション管理のような概念の物をCで実装するにはどのような仕組みを実装すればいいのでしょうか? ある程度セッションが正しく張れている保証が欲しいので単純なクッキーでは不安です。 良い方法は無いものでしょうか?
44 : http://corn.2ch.net/test/read.cgi?bbs=php&key=990627898&ls=50 があるけど解決して無いですね。
45 : ttp://php.s3.to/ 書き換えられている模様 ムーノーっぽくなっちゃってます
46 : >45 これだけやられているのに全然防備しようという意識がないみたいですね。 これほどセキュリティーに鈍感な管理人なのに掲示板でオンライン 予約システムの構築を依頼している人がいて藁った。 自作自演だろうか? こんな管理人が作った予約システムなんて 個人データの流出が頻繁にありそうで怖いぞ。
47 : >>45 あー、見れなかった。今みたらいつものTOPだった。 前の書き換えは管理人のジサクジエンってBBSに 書いてあったけど、また自分でやってんのかな・・・? それとも、マジハクされたのを言い訳してるだけ? あのページ、管理人がよく分からん。
48 : 最近見つけた面白い秘孔。 open(OUT,">./charalog/$in{'id'}.cgi"); で、北斗神拳スクリプト。 http://www8.tok2.com/home/onemu/
49 : やっと気付いたみたいだな、、SSIもこええなー
50 : 方法も論ぜずに、php.s3.to/は糞だの、スクリプトもやばいねだの 言うのはここが2chだからか? それともスクリプトクレクレ君しか見てないのかこの板は・・・ こんなこと言うと降臨とか言われるんだよなー いやちょっと気になったんでね 鯛は無いです
51 : ここで方法を論じたとしてその方法がここに書かれたら どうなるか想像できない?
52 : php.s3.to管理人現る。
53 : >>51 うん、まあ良く考えればそうよね。 ちょっとくらい漠然とした話でも出来ないかなと思ったからさ でも上の方読んで分かったよ w 結局この板を読んでる人はまともな人が多そうだけど 書き込むの批判屋と厨房とクレクレ君が圧倒的に多いんだよね しかしpass抜かれてるだろうに、余裕だね。。。 あ、もう辞めるっす (^^
54 : オカマか漏れは。。。 =>そうだよね
55 : >53 >しかしpass抜かれてるだろうに、余裕だね。。。 これなんだけど、 ttp://php.s3.to/simple/source.php このsource.phpのソース見てみると、(ttp://php.s3.to/simple/source.php?source.php ) > if (ereg("^[^\.]*(\.php3?|\.inc)$",$QUERY_STRING)) { こんな感じで汚染チェックらしきことやってるんだけど、 先頭が "/"の場合を考えてないから、 絶対パス(/home/php/public_html/・・・)で指定すれば、 .phpであれば何でもソースが見れちゃうわけ。 で、 ttp://php.s3.to/simple/source.php?/home/php/public_html/update.php こんな感じでけば、ソースが・・・ なぜかパスワードは生だし。。
56 : 追記。 ttp://php.s3.to/simple/source.php?aaaa.php みたいに、存在しないものを開こうとすると、、 エラーが出る(ってこのあたりもエラー処理やってないし、ダサいけど) から、その中にフルパスが書かれてるし。
57 : なんでそんな事を。。。
58 : こうして今日も名無しは人の為に無償で働くのであった。
59 : 一応メールにて報告しておきました。
60 : 少し上の方でも書かれてますが、同じサーバーのユーザー(と思われる) に困っています。初めは穴の有るスクリプトが原因と思われるファイルの 削除などの被害だったんですが、今はどうやらcgiでやられている様です しょうも無い閑古鳥サイトなのに。。。。 (鬱 それで、自分なりに色々考えてリンクを貼って本体は別のディレクトリに 置いたり、普段はパミを落しておいて書き換え時だけchmodしたりして みたんですが、決定的では無いです て言うか人のスペースを変なファイルでパンパンにすんなーー!! setuExecされて無いサーバーで、自分のファイルを守る手段は 無いでしょうか? 防御方法を話しませんか あ、そのしょうも無いWEBは現在安全なサーバーに引っ越したです ^^
61 : 今読み返してみたけど、良く考えたらsuidされないって事は 誰のスクリプトで同じgid.uidで動いてる(httpとか?)んだから 無理に決まってますね、何をトチ狂った事言ってるんだろ。。 サーバー屋さんにもポリシーとか有ると思うんですけど、 suidしないでCGI走らせてるのは、何か意味があるのかな 一昔前はsuidする事で色々不具合が有ったとか聞きましたけど
62 : 上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール) の管理方法は固そうじゃ無いですか? 入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key +環境変数色々で管理してる様です。よってクッキーも不要 昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から このシステムでした。個人的にかなり信頼してるんですが
63 : 上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール) の管理方法は固そうじゃ無いですか? 入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key +環境変数色々で管理してる様です。よってクッキーも不要 昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から このシステムでした。個人的にかなり信頼してるんですが
64 : perlCGIでセッション管理の良い方法は有りますか? 今は生パスをhiddenで吐いてるんですが、色々有って辞めたいんです
65 : Apache::Session
66 : nobodyな駄目鯖でもそこそこ安心になって欲しいと思って昔書いた I/F的にどうしてもGETを使いたかったから。 パス合致でセッション開始→ランダムKEY作成(KEY1)→暗号化(CRYKEY1) session.txtにCRYKEY1を保存、→session.txtのstat[8](KEY2)を取得→ これを暗号化(CRYKEY2)してクッキーに焼く KEY1をGETで渡すパラメータに使う 後は全部合致ならOK、 クッキーに焼いた最終アクセス時が合致しなかったら(だれかがCGIで覗いたら)バイバイ KEY1照合して駄目でもバイバイって感じ 更にExpireを短めにしたり、hostとかも記録してたなあ、、 勿論パケット拾われたら意味ないけど w でもサーバー時計狂ってるって信じられない某無料鯖が あったりで苦情到したんでムカついてGETで生パス垂れ流しに変更して配布辞めた w
67 : そんな事より66よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。 昨日、鏡見たんです。鏡。 そしたらなんかめちゃくちゃ不細工な奴がっ映ってるんです。 で、よく見たら、いや、よく見なくても、それ俺なんです。 もうね、アホかと。馬鹿かと。 俺な、不細工にも程があるだろうが、ボケが。 超不細工だよ、超絶不細工。 なんか頭も薄くなってるし。デブ、ハゲ、オクメ、ニジュウアゴの4重苦か。死にて―よ。 子供が見たら泣き出すの。もう生きてらんない。 俺な、こりゃ人間の顔じゃねえぞ。猿だぞ。 顔ってのはな、もっと人間っぽくしてるべきなんだよ。 Uの字テーブルの向かいに座った奴がいつ気分悪くなってもおかしくない、 吐くか殴られるか、そんな顔じゃねーか俺は。女子供は、すっとんで逃げる。 で、やっと落ちついたかと思ったら、俺、鏡にむかって、ファイト、とか言ってるんです。 そこでまた自己嫌悪ですよ。 あのな、キャンディキャンディか俺は。ボケが。 二目と見られぬ顔して何が、ファイト、だ。 俺は本当に人間なのかと問いたい。問い詰めたい。小1時間問い詰めたい。 俺、進化の歴史から取り残されてるんちゃうんかと。 クロマニョン人の俺から言わせてもらえば今、俺の間での最新流行はやっぱり、 整形、これだね。 整形失敗ギョクサイ。これが俺の生きる道。 整形っては金がかかる。そん代わり成功率が少なめ。これ。 で、それに韓国エステ(ぼたくり)。これ最強。 しかしこれをやっちまうと人間でないことを完全に認めてしまう、諸刃の剣。 真人間にはお薦めできない。 まあお前ら真人間は、俺のぶんまで幸せになってくださいってこった。
68 : adimage.dll advert.dll advpack.dll amcis.dll amcis2.dll amcompat.tlb amstream.dll anadsc.ocx anadscb.ocx htmdeng.exe ipcclient.dll msipcsv.exe tfde.dll ある安全保障局系のサイトにアクセスしてから、 不正アクセスが増えたのです。 変に思い調べたら、 こんなファイルを植え付けられました。 スパイウエアらしいのですがウイルスバスターは認識せず、 手動で削除しました。 CIA系のHPは危険みたいです。
69 : >>67 バクショウシタ(w
70 : PKIをやってる会社もこんなもんか。 ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/10.html#20011009_baltimore
71 : /FYI/ PHP variables passed from the browser are stored in global context http://www.kb.cert.org/vuls/id/847803 何でもデフォルトではURLで渡された値がグローバル変数に入る。 この動作を変更しておかないと外部から様々な操作される危険も伴う、諸刃の剣。 素人にはお薦め出来ない。 ってことで合ってる? # メイドさんベストも買ってきたことだし、寝るー
72 : ちゅうか、PHPってTaintチェックとかは無いの?
73 : メイドさんベストって何だ〜〜〜〜〜〜〜〜〜!?
74 : >>73 http://www.hobibox.co.jp/products/swaf/swaf_me/ しかしこれを買うと次から店員にマークされるという危険 (以下略)
75 : ActivePerlにバッファオーバーフロー問題が発覚 http://slashdot.jp/article.pl?sid=01/11/20/0418200&mode=thread
76 : これ、ここの人なら前から気付いてたんじゃない? DLしちゃうんだよなぁ・・・・ http://slashdot.jp/article.pl?sid=01/12/12/229254&mode=thread
77 : あほがpostバグ付いてるね age
78 : >77 裏2chの事?(笑 ちょっと見たけどスクリプト使ってるみたいだね。 取り合えずJavascript関連全てOFFを呼びかけるしか無いんじゃないかな 実際問題そろそろ2chにも認証コードが必要な段階だと思う。 IEにはもう一つこわ〜〜ぃ仕様が潜んでるからね(笑 こっちはセキュリティーレベル関係無いし・・・
79 : >>78 罠が起動するのはIEだけだよ。 NetscapeやOperaじゃJavaScriptのイベントが起動しないので 書き込まれない。ってこの部分はWeb制作板だーね。
80 : >79 問題なのはIEだと静的なhtmlで同等の事が出来てしまう所だ 78もその辺りを言ってるんだと思う。 何時か来るとは思ってたが、こう言う事する奴はそのうち気が付いて しまうからね。
81 : IEのお節介機能(何でも補完何でも解釈)はもはや犯罪 でも一番使いやすいんだよなぁ。。。。
82 : あげよう。
83 : そうだね。
84 : 白痴西村読みなさい D-Bornで攻撃してるのは私です http://qb.2ch.net/test/read.cgi/accuse/1013447591/l50 <アース神族軍メンバー一覧表> 氏名 役職 種族 領地 神格 HP メール 現住所 Messiel リーダー アース神族 八畳程度 二 ○ ○ 東京都府中市 ネオ麦茶 エインフェリア 人間 実家に自室あり / ○ / 京都府医療少年院 むねお エインフェリア 人間 不明 / ○ / 不明 神風 エインフェリア 人間 不明 / / ○ 兵庫県神戸市 たかし エインフェリア 人間 不明 / / / 大阪狭山市 テキーラ エインフェリア 人間 不明 / / / 不明 佐々木 人間 不明 / / ○ 北朝鮮 木村 人間 不明 / ○ / 東京都荒川区東日暮里 (´ー`)y−~~~トイレ掃除 人間 不明 / / / 不明 あひゃ 調理師 人間 不明 / ○ ○ 愛知県半田市
85 : あ げ。
86 : 人んちのプロクシ―を勝手に使うのって なんかの法に抵触する行為?
87 : >86 パスワードかかってたらね。
88 : >>87 サンクス。つまりパス掛かってなければ合法と・・・φ(..)メモメモ 8080とか3128とかアリキターリなポート使ってるところは バンバン使って良しですね!サンクス!
89 : ジオシティーズが落ちているようですが、これは だれかが攻撃したのでしょうか?
90 : セッション管理が甘くて個人情報が漏れた? http://pc.2ch.net/test/read.cgi/mobile/1012982631/n410- かわいそうな山田くん…。
91 : >>90 まあ、これは違法アクセスには該当しない好例だね。 ただのリンクだからな。
92 : /FYI/ Multiple Remote Vulnerabilites within PHP's fileupload code http://security.e-matters.de/advisories/012002.txt
93 : みんなセキュリティには興味無いのかなぁ。 ちょっと古いけど BUGTRAQ より: mod_ssl Buffer Overflow Condition http://marc.theaimsgroup.com/?l=bugtraq&m=101484301309557
94 : フォームメールのスクリプトとかでさぁ、 sendmailの標準入力に、(submitするデー タに改行を入れて)外部から宛先を仕込 めるスクリプトが結構あるような気がす るんだけど、あれってスパムの送信に使 われたりしないのか?
95 : >>94 そのスクリプトが世の中に出た頃からガイシュツです
96 : >>95 うぇ、そうなんですか。 「これって大発見!」って思った 漏れはってヨシだな。
97 : http://www.ipa.go.jp/security/awareness/vendor/programming/index.html 結構役に立つと思う。
98 : OfficeタンレッツPHPにキレてます。 http://www.office.ac/tearoom/noframe.cgi#No.962
99 : メールフォーム1つ直せない総務省マンセー! 什器ネットマンセー!
100read 1read
1read 100read
TOP カテ一覧 スレ一覧 削除依頼 ▲
・ 次のスレ
新しい掲示板の仕様を考える 0からはじめるperl 匿名プロクシは、止められないのか・・。 Web Develpoers Conference