鳩丸ぐろっさり (用語集)

bakera.jp > 鳩丸ぐろっさり (用語集) > csvmail.cgi

用語「csvmail.cgi」について

csvmail.cgi (しーえすぶいめいるしーじーあい)

話題 : セキュリティ / jargon

かつてファーストサーバーの標準 CGI として使用されていたCGI プログラムです。大まかに言うと

という機能を持っていました。おそらく「CSVで保存しつつメール送信」するところから csvmail という名前が付けられたのでしょう。

この CGI はテンプレートファイルやメール送信先を外部入力で指定するようになっていた上、それを全くサニタイズしていませんでしたので、以下のような脆弱性がありました。

また、この CGI は POST されてきたデータのログを /virtual/cgi-data/csvmail.log に保存するようになっていました。そしてディレクトリトラバーサルによってこの csvmail.log の内容を読み出すことができたため、投稿された全てのデータが外部に公開されているも同然の状態でした。

※このログ保存はドキュメントに記載されていない機能です。おそらくデバッグ用のものが残っていたのでしょう。

この csvmail.cgi が ASK ACCS の「質問フォーム」「機関メンバーお申し込みフォーム」「個人メンバーお申し込みフォーム」で使用されていました。そして起きたのが ASK ACCS 個人情報漏洩事件です。

人気のページ

最近の日記

関わった本など

コーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションWeb Site Expert #13

その他サイト