水無月ばけらのえび日記

脆弱な CGI = トロイの木馬説

ああ、何でこんな脆弱な CGI が世に生み出されてしまうのかしら。CGI 制作者のセキュリティリテラシが低いのかしら。どうすれば上がるのかしら……などと色々なことを考えているうちにふと思ったこと。

CGI の脆弱性が故意に作られる可能性は無いのかしら。

会社ぐるみで脆弱な CGI をつくることは考えにくいですが、制作担当者個人が意図的に CGI に脆弱性を持たせるということはあり得るのではないかと思いました。

「任意のファイルが読める」「任意の OS コマンドが実行できる」という「欠陥」を CGI に持たせておいて配布します。会社はこの脆弱性に気づいていませんが、制作者個人はこれを意図して埋め込んでいます。制作者は退社後、この「欠陥」をもつ CGI を操作して、ユーザのデータを抜き取ったり、サーバ上でコマンドを実行したりします。この場合、CGI の脆弱性は意図された「バックドア」であり、CGI 自体は「トロイの木馬」になっているわけです。

……こういう可能性って、全くないと言えるのでしょうか。

いずれにしても、第三者によるチェックは必要だと思うのですが……。

• 「脆弱な CGI = トロイの木馬説」へのコメント (5件)

関連する話題: セキュリティ / 思ったこと