ITパスポート家庭教師のつぶやき -87ページ目

パスワードの管理

2chねらーではないので、詳しくはわかりませんが。


2chの一部サイトで


スレッド管理権限が奪われたとの記事がありました。


http://blog.livedoor.jp/insidears/archives/52418



事象は


 1 スレッドの作成、削除、移動が管理権限を盗んだ者が自由に行うことができてしまう


 2 cgiが書き換えられたため、板にウィルスの設置される感染されてしまう


 3 cgiが書き換えられたため、XSSへ誘導されてしまう



で、どうなるかというと


 →1 記事に対して信憑性が無くなる(信頼性、完全性が失われる)

 →1 利用したいときに使えない(可用性が失われる)


 →2、3 ウィルスに感染する



このような事態になったそもそもの原因は


 Webサーバの設定が甘かった

  ↓

 

 ファイル一覧が表示されてどのようなファイルがあるのかバレた

  ↓


 cgiスクリプトが拡張子無しで置かれていた

  ↓

 

 拡張子なしcgiが実行されず、テキスト表示された

  ↓

 

 テキスト表示されるため、プログラムの内容が丸見え

  ↓


 プログラムを解析し、セキュリティホールを発見した

  ↓

 

 セキュリティホールに対して攻撃




設定が甘かったのと


不要なファイルを公開する場所に置いているから、このような事態に発展しました。



利用者からお金を貰っているサイトだったら


SLA違反となって大変な損害を食らうことでしょう。


(^-^)/