水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2009年のえび日記 > 2009年2月 > 2009年2月6日(金曜日)

2009年2月6日(金曜日)

書籍の脆弱性: Ajaxセキュリティ

公開: 2021年7月26日16時50分頃

徳丸さんの書籍の脆弱性シリーズ:「書籍『Ajaxセキュリティ』に関する残念なお知らせ (d.hatena.ne.jp)」。

何故か入力値を検証してシングルクォートを含むデータをエラーにするという話。ちゃんと処理すれば良いだけですよね。

ユーザーの姓として、O'Brien なら有効な値でしょうが、' SELECT * FROM tblCreditCards はまず違うでしょう。

「' SELECT * FROM tblCreditCards」という姓の人がいても良いじゃないですか。何が駄目なんですかと。こういう事を書かれると、本当にそういう名前にしたくなってきますね。

そういえば、先週末の懇親会でも「Let's Noteが検索できない」とかいう話が出ていましたが。

※関連するかも: 偽偽夜食日記: Ajaxセキュリティ (rryu.sakura.ne.jp)

関連する話題: Web / セキュリティ / / 書籍の脆弱性 / Ajaxセキュリティ

パスワード盗み返し

更新: 2021年7月26日16時20分頃

「ハッカー」に逆襲、パスワード盗み返す 中3書類送検 (www.asahi.com)

インターネットのIDとパスワードを盗もうとした「ハッカー」から逆にパスワードなどを盗み返したとして、愛知県警は5日、兵庫県尼崎市の中学3年の少年(15)を不正アクセス禁止法違反の疑いで書類送検した。調べに対して、少年は「メールを盗み見たりして、困らせてやろうと思った」と話しているという。

パスワードを盗んだとしても、それだけでは不正アクセス禁止法の言う不正アクセス行為にはならないはずです。三条で定義されている不正アクセス行為は、以下の三つだけです。

2  前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。

一  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)

二  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

三  電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

以上、不正アクセス行為の禁止等に関する法律 第三条 より

そんなわけで、検挙の理由は「パスワードを盗んだから」ではなくて、「盗んだパスワードを入力してアクセスしたから」でなければならないはずです。

ところで、技術的に興味深いのはこれですね。

操作の履歴の送付先になっていた男性のメールアドレスやID、パスワードを割り出したという。

キーロガーを分析して分かったというこれ、何のパスワードなんですかね。キーロガーのデータ送信用にパスワードが必要なのかという疑問が沸くわけですが。どこかのメールサーバを経由してメールを送るようになっていて、SMTP認証が必要だったとか? なんか、キーロガーが脆弱なのではないかという気がしてきますが。

関連する話題: セキュリティ

最近の日記

関わった本など