水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 脆弱な CGI = トロイの木馬説

脆弱な CGI = トロイの木馬説

2004年2月5日(木曜日)

脆弱な CGI = トロイの木馬説

ああ、何でこんな脆弱な CGI が世に生み出されてしまうのかしら。CGI 制作者のセキュリティリテラシが低いのかしら。どうすれば上がるのかしら……などと色々なことを考えているうちにふと思ったこと。

CGI の脆弱性が故意に作られる可能性は無いのかしら。

会社ぐるみで脆弱な CGI をつくることは考えにくいですが、制作担当者個人が意図的に CGI に脆弱性を持たせるということはあり得るのではないかと思いました。

「任意のファイルが読める」「任意の OS コマンドが実行できる」という「欠陥」を CGI に持たせておいて配布します。会社はこの脆弱性に気づいていませんが、制作者個人はこれを意図して埋め込んでいます。制作者は退社後、この「欠陥」をもつ CGI を操作して、ユーザのデータを抜き取ったり、サーバ上でコマンドを実行したりします。この場合、CGI の脆弱性は意図された「バックドア」であり、CGI 自体は「トロイの木馬」になっているわけです。

……こういう可能性って、全くないと言えるのでしょうか。

いずれにしても、第三者によるチェックは必要だと思うのですが……。

関連する話題: セキュリティ / 思ったこと

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト