水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 個人情報を読み落とす記述?

個人情報を読み落とす記述?

2003年11月13日(木曜日)

個人情報を読み落とす記述?

入力に間違った場合、エラーメッセージを表示するが、表示するファイルを読み出すところを、蓄積した個人情報を読み落とす記述になっているプログラミングミスだった。

以上、個人情報流出でACCSが謝罪会見 より

「個人情報を読み落とす」って良く分からないのですが。本来表示するファイルのかわりに個人情報のデータファイルを表示するつくりだったという意味でしょうか。いくらなんでもそんなことはないと思うのですが……。

office さんの所を見ると、

該当のCGIにつきましては、弊社でも脆弱性(洗浄不足)を認識しており、

以上、officeさんのTea Room for Conference in academic office より

という話が出ています。引用文中の「洗浄」というのはサニタイズのことです。私の想像では、CGI の引数としてテンプレートの指定ができるようになっていて、そこでサニタイズを怠っていたため Path Traversal が可能になっていた……というパターンではないかと思うのですが。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト