水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 一覧見えてますけど……

一覧見えてますけど……

2005年4月17日(日曜日)

一覧見えてますけど……

更新: 2005年4月19日

ZnZさん (znz.s1.xrea.com)の情報によると、ニフティの Web フォーラムの RSS は http://bbs.com.nifty.com/mes/FPROG_B001/index.rdf なんて URL で公開されているようです。知りませんでした。

それは良いのですが、その URL の末尾の index.rdf を削ると該当会議室そのものが見えるのだろうと期待して http://bbs.com.nifty.com/mes/FPROG_B001/ にアクセスしたら、期待に反して Not Found といわれてしまいました。あれ、と思ってさらに上の http://bbs.com.nifty.com/mes/ にアクセスしてみると、「/ のディレクトリの一覧」という謎のページが。

いちおう JSP のコードが読めたりするようではあります。幸か不幸か、個人情報が公開されているようなことはないようですので、意図して公開しているのかどうか判断がつきかねますが。

※ディレクトリ一覧が見えているというだけでは、届け出ても「意図的に公開している可能性もあるので脆弱性とは判断できません」などと言われることがあります。個人情報が公開されているようなことがあれば意図的に公開されているのではないと判断できますので、確実に脆弱性として処理されます。ということで、発見者は個人情報等のデータが公開されていないか積極的に探さなければなりません。:-)

※2005-04-19 追記: Not Found になったようです。ステータスが HTTP/1.1 404 /mes/ となっているのが謎ですが。しかし一覧が見えなくなっただけで、http://bbs.com.nifty.com/mes/memory.jsp などにはアクセスできるようですね。

関連する話題: セキュリティ / ニフティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト