2005年5月24日(火曜日)
Wiki添付ファイル話が更新
「JVN#465742E4 Wiki クローンにおけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」が更新されて、AsWiki と hiki は「該当製品あり」に変更されました。また、「FreeStyleWiki (fswiki.poi.jp)」が「該当製品あり」として新たに追記されました。
……ということを、セキュリティホールmemo経由 (www.st.ryukoku.ac.jp)で知りました。しょぼーん。
- 「Wiki添付ファイル話が更新」にコメントを書く
関連する話題: セキュリティ / IPA / JVN / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ
添付ファイルを開いてしまうブラウザの調査
「Wiki のファイル添付の脆弱性」の話で、対応策として「Content-Disposition フィールドなどをつけて、添付ファイルが強制的にダウンロードされるようにする」というものを挙げましたが、中には Content-Disposition を無視するブラウザがあるそうです。
というわけで、Hiki の開発者であるかずひこさんが「ファイル添付の脆弱性に関するブラウザの調査 (kazuhiko.tdiary.net)」をされているようです。レアなブラウザを使われている方は是非。
※この調査が行われているという情報はむらまささん (www.fprog.org)に教えていただきました。ありがとうございます。
関連する話題: セキュリティ
原因は SQLインジェクション?
「データベースを攻撃、外部から支配 カカクコムHP事件 (www.asahi.com)」という記事が出ています。
関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「SQL」で操作する。今回の攻撃は「SQLインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。
「利用者のふりをして」云々はちょっと語弊があるような気がしますが、ともあれ価格.com がやられた原因は SQLインジェクションだったというお話ですね。OS (Windows Server 2003) の不具合ではなかったようでほっと一安心ではあります。
これが事実であれば、ウェブアプリケーションの脆弱性を突かれた事例としては過去最大級ということになるのではないかと思います。また、ある意味私の敗北でもありますね。3月の時点で価格.com を利用していたのに、脆弱性を発見できなかったわけですから。
※そして別の意味では、不正アクセス禁止法の敗北でもあると思います。"IF" の話をしても仕方が無いことは分かっていますが、「もし」office さんが逮捕されていなかったら、私はおそらく SQL インジェクションができないかどうかチェックしていたでしょうから。今回のアクセスは海外からのものだという噂がありますが、それが事実ならば「不正アクセス禁止法は海外からの不正アクセスに対して抑止効果が全く無い」という、以前から指摘されてきたことが証明された形にもなりますね。
これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。
SQL インジェクションができてしまったのであれば、ウェブアプリケーション側のサニタイズに不備があったということですから、それは立派な「プログラムのミス」であり「プログラムに欠陥」だと思いますが。「コンピューターが正規の命令か悪意のある命令かは判断できない」って……そりゃそうですが、本来であればそもそも SQL サーバに対して悪意ある SQL 文が渡らないようにする必要があったのに、それを怠っていたからこそ発生したのでしょう。
※昔の HTML 解説の件と言い、朝日新聞はもうちょっと IT 系をがんばってほしい感じです。
関連する話題: セキュリティ / 価格.com / SQLインジェクション
- 前(古い): 2005年5月19日(Thursday)のえび日記
- 次(新しい): 2005年5月25日(Wednesday)のえび日記
