鳩丸ぐろっさり (用語集)

bakera.jp > 鳩丸ぐろっさり (用語集) > csvmail.cgi

用語「csvmail.cgi」について

csvmail.cgi (しーえすぶいめいるしーじーあい)

話題 : セキュリティ / jargon

かつてファーストサーバーの標準 CGI として使用されていたCGI プログラムです。大まかに言うと

という機能を持っていました。おそらく「CSVで保存しつつメール送信」するところから csvmail という名前が付けられたのでしょう。

この CGI はテンプレートファイルやメール送信先を外部入力で指定するようになっていた上、それを全くサニタイズしていませんでしたので、以下のような脆弱性がありました。

また、この CGI は POST されてきたデータのログを /virtual/cgi-data/csvmail.log に保存するようになっていました。そしてディレクトリトラバーサルによってこの csvmail.log の内容を読み出すことができたため、投稿された全てのデータが外部に公開されているも同然の状態でした。

※このログ保存はドキュメントに記載されていない機能です。おそらくデバッグ用のものが残っていたのでしょう。

この csvmail.cgi が ASK ACCS の「質問フォーム」「機関メンバーお申し込みフォーム」「個人メンバーお申し込みフォーム」で使用されていました。そして起きたのが ASK ACCS 個人情報漏洩事件です。

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト