2010年4月14日(水曜日)
XSS攻撃の実例
公開: 2010年4月17日23時5分頃
「Apache狙いの攻撃発生、パスワード流出の恐れも (www.itmedia.co.jp)」。
Apacheによれば、攻撃には短縮URLサービスのTinyURLを使ってクロスサイトスクリプティング(XSS)攻撃コードを仕込んだURLへリダイレクトする手口が使われたという。Apacheの管理者数人がこのリンクをクリックしてしまい、JIRA管理権限を含むセッションに侵入された。
XSS脆弱性によるセッションハイジャックですね。その危険性はずっと昔から指摘されていましたが、実際に攻撃された例はほとんど知られていませんでした。
実例が出てきたことで、これからこの手の攻撃が一般化してくるのでしょうか。
- 「XSS攻撃の実例」へのコメント (4件)
ホスティングサービスで設定ファイルが読まれる話
公開: 2010年4月17日15時30分頃
「WordPressのブログに大量のハッキング被害、不正サイトへ誘導も (www.itmedia.co.jp)」。
セキュリティ企業のSucuri Securityは、ブログでこの事件の原因について、WordPressではデータベースの管理情報がプレーンテキストの状態で保存されるという問題を指摘している。悪意を持つNetwork Solutionsのユーザーが、問題のある設定ファイルを見つけ出すスクリプトを作成してデータベースの管理情報を入手し、ブログのデータベースを改ざんしていたことが分かった。
Network Solutionsでは問題の根本原因を解決したと説明するが、WordPressのユーザーは念のため、管理パスワードの変更を促している。
最初読んだときはWordPressに問題があるという話のように読めて、よく意味が分からなかったのですが……。
良く読むとNetwork Solutions側で問題を解決したとありますから、ホスティングサービス側の問題だったわけですね。同じホスティングサービスを使用している別のユーザーから設定ファイルが読めた、という話のようです。
そういう話であれば、Movable Typeもmt-config.cgiにDBのユーザーとパスワードがそのまんま書いてあるわけですから、全く同じ事が起きます。WordPress特有の問題というわけでも無さそうですね。
専用環境と言うけれど
公開: 2010年4月17日14時50分頃
「三輪信雄氏に聞く、Gumblar騒動と本当のセキュリティ (ascii.jp)」。
今回のGumblarで言えば、Webサイトにコンテンツをアップロードするためだけの環境を用意して、それ以外の用途ではいっさい使わない。これなら、その環境がウイルスに感染する危険性は低いですし、Webサイトに不正なスクリプトが埋め込まれることもないわけです。1つの環境で何でもやろうとするからウイルスに感染して、Webサイトに不正なスクリプトが埋め込まれてしまうわけです。
Webコンテンツを処理するための専用環境を用意。……ってえらく簡単な感じに言われていますが、具体的な作業フローが浮かんでこないのですよね。
その環境にどうやってファイルを持って行くのでしょうか。その環境はWebブラウズもしなければメール受信もしない想定でしょう。となると、ZIPして固めてUSBメモリか何かに入れて持って行くことになるのでしょうか。そうなると、「担当者にZIPファイルを送ってアップロードしてもらう」というのと同じ手間だと思うのですが。
FTPに限定しない一般論として言われているのであれば、エンタープライズCMSのワークフローなどはどう考えるべきなのでしょうか。承認者全員に専用環境を用意する必要がありそうですが。
いくら考えても、Web製作の現場で受け入れられそうなやり方が思いつきません……。orz
- 前(古い): 2010年4月12日(Monday)のえび日記
- 次(新しい): 2010年4月15日(Thursday)のえび日記
