こんばんわ
今週月曜日、
新潟県警HPに不正アクセスか
https://jp.reuters.com/article/idJP2019012001001890
新潟県警察本部のホームページを管理するサーバーが何者かによって外部から不正に操作され、インターネット上の掲示板に神奈川県警への爆破予告が書き込まれていた。
こんなニュースがありました
よりによって、
警察のホームページとは
しかも、
2つの県警を相手にするとは
なかなかの、
マクガイバーっぷりです
ネット上では、
週末から、
「書き込み内容を記者会見で詳細に」
そんな投稿もあり、
ちょっと吹いてしまいました
いけませんね
不謹慎でした
どういう脆弱性だったのか
新潟県警のホームページを見てみると
当事案の件、
どこにも記載はありませんね
不正にスクリプトやSQL文を実行させる、
インジェクション攻撃
だったのでしょうか
今回は、
ご意見・ご要望のフォームからの様なので、
コマンドやスクリプト等を仕込んで実行させる、
コードインジェクション
でしょうか
通常、
入力欄に入力されるデータ
バリデーションといって、
適切な文字のみで構成されているかを確認し、
スクリプトやSQL文を実行させないように、
不適切な文字等を無効化します
そこに脆弱性があったのでは
個人的な推測です
もし、
そうであれば、
実行ユーザー権限も、
見直した方が良いですね…きっと
サイバーポリスの方々
全国の県警ホームページ、
守ってあげて下さい
ではまた