[臨時地震]@埼玉県の臨時退避板
前4)下8)次6) 初1)新3)書7) 板5)
【臨時】臨時地震板汎用スレッド28(自治・避難・案内・他) 【本家スレッド大杉】
[97] ◆SaitmfK.GE (埼玉県【緊急地震:千葉県北西部M4.6最大震度3】):2014/03/12(水) 05:06:17 ID:doklpYuZ0
AAS
>>96
あ、はい。
いわゆる、“水飲み場型攻撃”の一種なんでしょうか?
株式会社ラック/ セキュリティ情報/
日本における水飲み場型攻撃に関する注意喚起
http://www.lac.co.jp/security/alert/2013/10/09_alert_01.html
@wiki の件が 2ちゃんねるで色々書かれているのは私も目にしています。あの事件自体、そもそもが 2ちゃんねる利用者間の
派閥争いが発端であるようにも思えますが。
例えば“PHP”のような一部の種類のファイルは、実行権を与えずして任意の相対パス上で任意の挙動ができる。
@wiki は、Wiki の使い勝手を最重点に考えてコンテンツを設置した結果、画像ファイル以外のいくつかのファイルの添付を
攻撃者に許してしまった。その中に、“PHP”ファイルのようなものが含まれていた。訪問者はそのファイルにリクエストすることで
その挙動に加担させられていた…ということのように把握しています。
一言で言ってしまうのは難しいですが、一個人のレンタルサーバユーザの責任範囲に過ぎないということではないでしょうか?
@wiki は“さくらインターネット”のサーバスペースを使っているようですが、“さくら”が適切にサーバを設定して運用しているならば、
攻撃者は @wiki が借りているフルパス領域までしか見ることができず、他の“さくら”ユーザにまで波及する脆弱性とは思えません。
XSRF について言えば別です。訪問者のクリックを踏み台として、その度に他サイトへの攻撃が行われる等はあり得るかもしれません。
これは、たとえ XREA サーバであっても同じことだと思います。
誰かがアップローダを作って件のファイルを上げたとしても、任意の挙動ができる範囲は、その人が契約しているスペース内に
限定されるはずです。
上前次新1-板
