アカウント名:
パスワード:
事だけはわかるけど。Zone-H.org にも情報は無いし。 過去のページが見れるサイトでJR東のサイトの去年のソースを見ると、<form action="http://webseek1.cab.infoweb.ne.jp/cgi-bin/common.cgi" method="post" target="_top"> とかやっているっぽい。「ん? これは検索は別ドメインで、という事かな」と思ったけど、こういう構造だと本質的にクロスドメインでやられ易いような。オレはWebやセキュリティーは詳しくないので判らんが。 仮に「検索は webseek1.cab.infoweb.ne.jp で実行していた」のであれば、これ自体は netcraft 情報では InfoWebFujitsu Ltd の Solaris 8 / Apache のようだ。OS/Server の Last changed が 7-Jun-2006 って、大丈夫なのか? バージョンを見ようと思ったが、現在 webseek1.cab.infoweb.ne.jp は動いていない模様。
との事。 telnet の 80 で http://www.jreast-search.jp/result/search.php [jreast-search.jp] のヘッダを見ると…
Server: Apache X-Powered-By: PHP/5.2.4 Content-Type: text/html; charset=UTF-8
かぁ。PHP 5.2.4 って、リ2007年9月3日にリース [php.gr.jp]されたバージョンね。5.2系だと最新はPHP 5.2.12 [php.net] だから、8 つ前のバージョンかぁ。だいたい PHP って脆弱性の常連…Finding vulnerabilities in PHP scripts FULL ( with examples ) [milw0rm.com]とか出てるし、古くは 5.2.6 では PHP path translation vulnerability [cert.org]、5.2.7 もPHP におけるクロスサイトスクリプティングの脆弱性 [jvn.jp]が出てるし。5.2.4 だけど、パッチはバックポートしてるのか? そうでなけりゃ、実質「ノーガード戦法」なのですぐまたヤラれそうな予感。
こりゃ [ascii.jp]、バージョンを上げても別の攻撃手段を使って書き換えられそうですね。
最新版にゼロデイ攻撃の手段がないことの証明は、悪魔の証明ですよねぇ。
2. 不正アクセスにより改ざんされたページ及び期間 ・JR東日本ホームページ内キーワード検索 2009年12月8日(火)21:40~12月21日(月)23:55 ・大人の休日倶楽部内の東京講座ページ 2009年12月18日(金)11:00~12月22日(火)21:00
検索のほうは随分長い間放置されてたんですね。使ってる人がいなかったのか。CGIだからグーグルとかも危険サイトの検出できなかったのかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
検索は別のドメインで行っていた模様 (スコア:5, 興味深い)
事だけはわかるけど。Zone-H.org にも情報は無いし。
過去のページが見れるサイトでJR東のサイトの去年のソースを見ると、<form action="http://webseek1.cab.infoweb.ne.jp/cgi-bin/common.cgi" method="post" target="_top"> とかやっているっぽい。「ん? これは検索は別ドメインで、という事かな」と思ったけど、こういう構造だと本質的にクロスドメインでやられ易いような。オレはWebやセキュリティーは詳しくないので判らんが。
仮に「検索は webseek1.cab.infoweb.ne.jp で実行していた」のであれば、これ自体は netcraft 情報では InfoWebFujitsu Ltd の Solaris 8 / Apache のようだ。OS/Server の Last changed が 7-Jun-2006 って、大丈夫なのか? バージョンを見ようと思ったが、現在 webseek1.cab.infoweb.ne.jp は動いていない模様。
Re:検索は別のドメインで行っていた模様 (スコア:3, 参考になる)
との事。 telnet の 80 で http://www.jreast-search.jp/result/search.php [jreast-search.jp] のヘッダを見ると…
かぁ。PHP 5.2.4 って、リ2007年9月3日にリース [php.gr.jp]されたバージョンね。5.2系だと最新はPHP 5.2.12 [php.net] だから、8 つ前のバージョンかぁ。だいたい PHP って脆弱性の常連…Finding vulnerabilities in PHP scripts FULL ( with examples ) [milw0rm.com]とか出てるし、古くは 5.2.6 では PHP path translation vulnerability [cert.org]、5.2.7 もPHP におけるクロスサイトスクリプティングの脆弱性 [jvn.jp]が出てるし。5.2.4 だけど、パッチはバックポートしてるのか? そうでなけりゃ、実質「ノーガード戦法」なのですぐまたヤラれそうな予感。
Re: (スコア:0)
こりゃ [ascii.jp]、バージョンを上げても別の攻撃手段を使って書き換えられそうですね。
最新版にゼロデイ攻撃の手段がないことの証明は、悪魔の証明ですよねぇ。
Re: (スコア:0)
検索のほうは随分長い間放置されてたんですね。使ってる人がいなかったのか。CGIだからグーグルとかも危険サイトの検出できなかったのかな。