「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲット

「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲット 51

ストーリー by hylom 2009年09月25日 14時00分
exportしようね部門より

あるAnonymous Coward 曰く、

TechCrunchの記事「初歩的な管理ミスで3300もの有名サイトがソースコードを盗まれる」によると、ロシアのセキュリティグループが、「.svn」や「CVS」といったSubversionやCVSの管理ディレクトリを狙ってWebサイトの非公開ファイルを盗み出す手法により、3300あまりのWebサイトのソースコードを入手することに成功したそうだ。

原理は簡単で、Webサイトでうっかり公開されてしまっている.svnや.cvsといったディレクトリを探し、発見したらその中身のデータを吸い出すだけ。確かに言われてみればうっかり見逃しそうなミスではある。皆様もご注意くださいませ。

（追記@14:50）原文では.cvsとなっているが、コメント#1644247で指摘されているとおり、CVSの管理ディレクトリは「.cvs」ではなく「CVS」である。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索51コメント Log In/Create an Account

原文のミスと訳注の勘違い (スコア:5, 参考になる)

by tietew (6130) on 2009年09月25日 14時49分 (#1644247) ホームページ
- CVSの制御ディレクトリは "CVS" で、".cvs" ではありません。
- 少なくともApacheの「デフォルトの構成 (=Apache配布のtarballやディストロのパッケージ)」では、ドットで始まるファイルやディレクトリを不可視にはしてありません。不可視なのは ".ht" で始まるファイルです。
- ディレクトリリスティングを返さない設定にしていても防御できません。例えば .svn/entries にはファイルとディレクトリの一覧が書いてあります。
- Re:[del]原文のミスと[/del]訳注の勘違い (スコア:2)
  
  by tietew (6130) on 2009年09月25日 15時05分 (#1644255) ホームページ
  
  すみません。原文には .cvs だの、ドットファイルのアクセス制御だのなんて書いてありませんし、entries とか .svn-base とかきちんと具体的に指摘しています。ここいらは訳者が勝手に付け足した部分ですかね。原文の作者にお詫び申し上げます。
  
  シェア
  
  親コメント
  - Re:[del]原文のミスと[/del]訳注の勘違い (スコア:3, 参考になる)
    
    by doda (31157) on 2009年09月25日 15時31分 (#1644267) 日記
    
    少なくともApacheの「デフォルトの構成 (=Apache配布のtarballやディストロのパッケージ)」では、ドットで始まるファイルやディレクトリを不可視にはしてありません。不可視なのは ".ht" で始まるファイルです。
    これは多分 autoindex の設定から勘違いしたんでしょうね。
    IndexIgnoreの設定は標準では .??* *~ *# HEADER* README* RCS CVS *,v *,t となっていますので、autoindexでは表示されません。
    URLで指定すればアクセスできてしまうのはたしかにそうですが。
    
    シェア
    
    親コメント
  - Re:[del]原文のミスと[/del]訳注の勘違い (スコア:2)
    
    by tietew (6130) on 2009年09月25日 15時08分 (#1644257) ホームページ
    
    落ち着け自分。
    
    真相：
    大元のロシア語のポストにはちゃんと書いてあるし、設定例まで載っている。
    TechCrunchが脚色しすぎていらんことつけたしちゃった。
    さらに訳注でいらんこと書いちゃった。
    
    シェア
    
    親コメント
    - 初歩的な翻訳ミスでオフトピに話題をさらわれる (スコア:0)
      
      by Anonymous Coward
      
      リスティングとアクセス制御の区別がついていないのもアレだけど、
      自分のサーバでちょっと試せばわかることを確認していないのがなんとも。
      #　という構成にするのがふつうでしょう（キリッ）って・・・
      - Re:初歩的な翻訳ミスでオフトピに話題をさらわれる (スコア:1)
        
        by genkikko (36404) on 2009年09月25日 16時43分 (#1644290) ホームページ日記
        
        「たとえば、こんなパスになる」とか言って実在のドメイン名を書いちゃう発想も謎ですし。
        これ書いた人ほんとにヒドいですね。
        
        シェア
        
        親コメント
        
        Re:初歩的な翻訳ミスでオフトピに話題をさらわれる (スコア:1)
        
        by genkikko (36404) on 2009年09月25日 16時56分 (#1644296) ホームページ日記
        
        あぁ・・・
        ぶら下がるところが違いましたねすいません。
        「まあ、‘ディレクトリリスティングを返さない’という構成にするのがふつうでしょう。」
        は日本語記事を書いた人で、test.comは英語記事を書いた人でした。
        # ロシア語読めないけど、元のロシア語の記事にtest.comって文字列はなく、example.comはありました。
        
        シェア
        
        親コメント
試さないように (スコア:2, 興味深い)

by Anonymous Coward on 2009年09月25日 14時23分 (#1644233)

日本だと「できるかな？」といって安易に試すと罪に問われる可能性があります。
鍵が掛かってなくてもドラクエもどきに家に入って箪笥を開けてはいけません。

#WEBサイト相手だと試すのがものすごく安易とはいえ、さぁ。
- Re:試さないように (スコア:4, おもしろおかしい)
  
  by takl (14577) on 2009年09月25日 21時43分 (#1644393)
  
  http://srad.jp/.svn を試したら逆に謝られました。
  徹夜で探してくれるそうです。
  そのうち upload されるかも。
  
  シェア
  
  親コメント
- Re:試さないように (スコア:1, 参考になる)
  
  by Anonymous Coward on 2009年09月25日 16時50分 (#1644292)
  
  「なっ、何この人ッ！人んちに勝手に入ってきてッ！
  「勝手に箪笥を開けて中を調べているッッ！
  「特に金目のものがなかったから怒ってるみたいだッッッ！！
  「ああッ！やくそうのひとつでも入れておけばよかったッッッッッ！！！
  
  シェア
  
  親コメント
  - Re:試さないように (スコア:1)
    
    by eukare (2230) on 2009年09月25日 19時53分 (#1644359) 日記
    
    ツボにカマイタチでも入れとけ。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    うけけめけ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  鍵がかかってないなら良かったと思いますが。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    セキュリティホールがあっても使ってはいけません。
    
    >電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、
    >アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為
    
    #　法律の穴にも突っ込んじゃだめですよ
    - Re:試さないように (スコア:4, 興味深い)
      
      by tietew (6130) on 2009年09月25日 14時56分 (#1644249) ホームページ
      
      ただ、今回の場合は対象のファイル群がアクセス制御下にあったとは言えないため、（日本の不正アクセス禁止法で言う）不正アクセスに該当するとは言い難いと思います。
      例の件では、
      
      アクセス制御下にあり、通常のリクエストでは取得できないファイルを
      ディレクトリトラバーサルというセキュリティホールを通じてアクセス制御を迂回し
      アクセス可能とした
      ので不正アクセスである、とされました。
      
      シェア
      
      親コメント
      - Re:試さないように (スコア:1)
        
        by Elbereth (17793) on 2009年09月25日 20時54分 (#1644374)
        
        例の件てのは、Excel……じゃないや、Office事件のことやね。
        
        シェア
        
        親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        > 「例の件では、……ので不正アクセスである、とされました。」
        
        それは違う。判決文にはそんなふうに書かれてない。
        思い込みを広めるのはやめよう。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        擬似不正アクセスってことですね
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    >鍵がかかってないなら良かったと思いますが。
    扉の前に鍵が落ちてる場合は、鍵をかけているもんだと見なしてくれるもんなんでしょうか？
    うちはパスワードかけてるし～とか思ってたら、
    admin, guestがデフォルト設定のままになってることに気がついて慌てて修正しましたorz
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    一箇所（ひとつのプロトコル）でも鍵がかかってればアウト [cnet.com]だったと思います。
    - Re:試さないように (スコア:1)
      
      by doda (31157) on 2009年09月25日 22時55分 (#1644406) 日記
      
      一つのプロトコルでアクセス制御がかかっているだけで即アウトというわけではないと思います。
      リンク先のページで書かれているのは、アクセス制御機能の有無についてですよね。
      アクセス制御機能の有無については、プロトコル毎に別々に考えるのではなく、計算機として持っているかを考えると。
      しかし、不正アクセス禁止法で禁止されているのは、アクセス制御機能によって行われている制限を回避する事です。
      実際、次のページ [cnet.com]では、
      もっとも、本件サーバにアクセス制御機能があるとしても、被告人の本件行為によってなし得る状態になった本件の各特定利用が、アクセス制御機能によって「制限」されていたかについては、さらに検討を要する。
      識別符号を入力してもしなくても同じ特定利用ができ、アクセス管理者が当該特定利用を誰にでも認めている場合には、アクセス制御機能による特定利用の制限はないと解するべきであるが、
      と書かれていますし、HTTPで公開されているコンテンツに関してはアクセス制限がかかっていないと考えていいと思います。
      Office氏の件に関しては、#1644249 [srad.jp]でも書かれているように、HTTPで公開されていないファイルをCGIプログラムの脆弱性を利用してアクセスしたのが問題だったのでしょう。
      
      シェア
      
      親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  > さぁ。
  促しているように見えるのは気のせいでしょうか
- Re: (スコア:0)
  
  by Anonymous Coward
  
  まじっすか。
  mozillaには、HTMLのlink要素にfaviconの記述が無ければ勝手に探しに行く設定があったり、昔、自作のクローラで.htaccessとかを見に行ってたコトがあるんだけど、大丈夫なのだろうか・・。
この辺も危ないかな？ (スコア:2, 興味深い)

by Anonymous Coward on 2009年09月25日 21時09分 (#1644381)

Thumbs.db　Windowsのサムネイルキャッシュ
.DS_Store　Macのリソースフォークの残骸
たしかこれらのファイルって、同じフォルダのファイル一覧がばっちり入ってるような
- Re:この辺も危ないかな？ (スコア:1, 参考になる)
  
  by Anonymous Coward on 2009年09月27日 18時31分 (#1644776)
  
  今確認したけど、Thumbs.dbはWindows7で作られなくなってる様子。
  desktop.iniも出来ないみたい。
  再表示時にサムネイルが再生成されてる感じでもないので、きっとどっかで生成されてるんでしょう。
  
  シェア
  
  親コメント
先生が狙ってる (スコア:2, 興味深い)

by Anonymous Coward on 2009年09月26日 0時13分 (#1644425)

googleでとある技術について検索していて、
上位にどこかの企業のTracのwikiがヒットしたことがありました。
で、好奇心でリポジトリに対してデフォルトID/デフォルトパスワード叩いたら
ものの見事にログインできてしまって。
さすがにアレでしたので、
「外から丸見えですよ」ってメッセージ残して退散しました。
さすがに、次の日には塞がれてましたが。
// 色々とアレなのでACで
セキュリティーグループ (スコア:2)

by fcp (32783) on 2009年09月26日 20時57分 (#1644553) ホームページ日記

ロシアのセキュリティグループが、「.svn」や「CVS」といったSubversionやCVSの管理ディレクトリを狙ってWebサイトの非公開ファイルを盗み出す手法により、3300あまりのWebサイトのソースコードを入手することに成功したそうだ。

こういういたずらをして恥じない集団を「セキュリティーグループ」と呼ぶことには違和感があります。
まあ、これを機にウェブサーバーの設定を再確認しましょうということで。
そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)

by okky (2487) on 2009年09月25日 15時05分 (#1644256) ホームページ日記
最新のソースコードだけでなく、過去の間違いも全部盗まれるって事ですよね…
1. 単純に考えても、恥ずかしい失敗がたくさん露呈するって事で、もうその段階で十分恥ずかしい
2. が、本当に問題なのは、
  ある、一定パターンで間違える人がいて、
  そのパターンで大量に間違いを生産し、
  それをテストで発見したり別の人が直したりして大半は潰した、
  なんて場合が露呈することだ。当然「残っているソースコード中から同じパターンを探す」事をすれば、同じような間違いはまだ何個か残っているだろう。その中にはセキュリティホールになったり、裏技的な使い方ができたりするものも含まれているだろう。
というわけで、これはかなり手痛い場合がありえますね。
--
fjの教祖様
- Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:3, 参考になる)
  
  by tietew (6130) on 2009年09月25日 15時11分 (#1644258) ホームページ
  
  .svnの中身には履歴はないので、Subversionなら過去のコードはとってこれないです。
  
  例えばGitなら.gitの中身に履歴全部詰まってますし、git clone http://www.example.com/.git とか打てばまるっとクローンできますけど。 (SubversionのhttpアクセスにはDAVが要るけど、Gitは要らない。）
  
  シェア
  
  親コメント
  - Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:3, おもしろおかしい)
    
    by okky (2487) on 2009年09月25日 19時21分 (#1644354) ホームページ日記
    
    あぁ… orz
    かなり根本的なところを間違えてしもた。
    # ついでに、私が普段リポジトリをどういう名前のディレクトリの下に置いているのかもばれてしもた…。
    
    --
    fjの教祖様
    
    シェア
    
    親コメント
- Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:2)
  
  by TarZ (28055) on 2009年09月25日 15時18分 (#1644264) 日記
  
  過去の間違いも全部ということはなくて、baseファイルだけかと。
  # Webサーバ上に.svnやCVSがあるということは、Webサーバ上で
  # ファイル更新を行っているケースが結構あるということなのかなあ。
  
  シェア
  
  親コメント
  - Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)
    
    by doda (31157) on 2009年09月25日 15時43分 (#1644270) 日記
    
    # Webサーバ上に.svnやCVSがあるということは、Webサーバ上で
    # ファイル更新を行っているケースが結構あるということなのかなあ。
    最新のマニュアルを公開するのに、exportではなく、checkoutしたのをupdateしています。
    毎回全部取り出すよりは差分だけの方が環境にやさしいかなと思いまして。
    .svnに関してはSubversionに移行した時に気が付いたので、サーバ管理者に連絡してアクセスできなくして貰った [osdn.jp]という事があります。
    
    シェア
    
    親コメント
    - Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:2)
      
      by fcp (32783) on 2009年09月26日 21時06分 (#1644555) ホームページ日記
      
      最新のマニュアルを公開するのに、exportではなく、checkoutしたのをupdateしています。
      毎回全部取り出すよりは差分だけの方が環境にやさしいかなと思いまして。
      
      ネットワーク負荷を下げるためなら rsync [samba.org] もお勧めです。 rsync だと転送元にも転送先にも管理用ファイルを作らずに差分だけ転送できます。
      
      シェア
      
      親コメント
- Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)
  
  by urandom (26447) on 2009年09月25日 15時16分 (#1644260)
  
  それはリポジトリ自体がアクセスされてしまった場合であって、.svnやCVSに過去の失敗は
  含まれていないと思いますが?
  
  まぁ、.svnなら修正前のオリジナルはあるでしょうけど。
  
  シェア
  
  親コメント
- Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)
  
  by elderwand (34630) on 2009年09月25日 15時59分 (#1644274) 日記
  
  とりあえず、このへんにぶら下げましょうか。
  mod_python なんかだと、（多分、mod_perl や php でも同じ）ソースコードに Basic認証の username/password を書けたりしちゃう [python.jp] ので、ソースを読まれたら相当痛い事になります。
  例えば CGI を作成するときに、Apache の設定 [apache.jp]で、ScriptAlias [apache.jp] を使うのか、Options ExecCGI [apache.jp] を使うのかを比べてみると、前者の方は原則スクリプト以外は置けないので、そこやサブディレクトリにあるソースを読む事はできないことなんじゃないかと思います。
  スクリプトと同じディレクトリに画像を置きたいとか、Apache でよくある事例なんですが、セキュリティ的には、スクリプトと同じディレクトリには置けない方が安全というような考察も必要ってことです。
  
  シェア
  
  親コメント
  - Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)
    
    by elderwand (34630) on 2009年09月25日 16時07分 (#1644276) 日記
    
    すみません、mod_python の例は、こちら [python.jp] の方がよかったかも。
    あと、推敲してるつもりが乱文になってますが、笑って見逃してください。m(__)m
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    セキュリティ的には、生パスワードをスクリプト中に埋め込んだ状態で放置して良いかという考察のほうが先だと思います。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  教祖様の場合は、経験に基づいた話が多くて
  きっとそんな恥ずかしいパターンを火消ししまくったことがあるんだろうなー
  ......と邪推。
似たような例として… (スコア:1)

by feenal (37359) on 2009年09月25日 15時46分 (#1644272)

すっごいひどいミスだけど、昔webサイト全体のバックアップを取ろうとして、
cd /htdocs tar ./www -f ../www.tar.gz cp www.tar.gz /Backups

で、tarボールを忘れたままほったらかしにして怒られたことがある。
- Re:似たような例として… (スコア:5, おもしろおかしい)
  
  by Anonymous Coward on 2009年09月25日 16時49分 (#1644291)
  
  > tar ./www -f ../www.tar.gz
  バックアップが取れていなくて怒られたのでは？
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  普通は htdocs の上のディレクトリで
  tar zcf www.tar.gz -C htdocs .
  とするものじゃないの？
そもそも (スコア:0)

by Anonymous Coward on 2009年09月25日 17時03分 (#1644300)

Webに公開するファイルと同じフォルダに非公開のCVSやらを置く理由が分からない
- Re:そもそも (スコア:4, 興味深い)
  
  by masarakki (33893) on 2009年09月25日 18時02分 (#1644332)
  
  ディレクトリごとそのままアップロードして.svnが乗っちゃうパターンじゃないでしょうか
  ええ、今消しました・・・
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    アウトソーシングしているプロジェクトのソースファイルのアーカイブに、CVSと.DS_STOREが付いてくるようなもんですね
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      WEBアプリの中には開発版等では取り除かず、そのまま固めて圧縮してリリースしてるものもあったり
      # sourceforgeでも散見されるかも
      安定版でさすがにそれはないと信じたい。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  $ vi index.html
  $ svn commit -m "hogehoge"
  $ ssh example.com
  example:$ cd /var/www
  example:$ svn update
  とか
  - Re:そもそも (スコア:2, 参考になる)
    
    by Yak! (32970) on 2009年09月25日 21時21分 (#1644386) ホームページ日記
    
    Subversion のリポジトリと公開用 Web サーバが同じで ssh で入るのも面倒なので
    post-commit フックを使って svn update がかかるようにしています。
    即時公開されるのもどうよ、という場合に対してはテスト用に同じ仕掛けを
    してあるブランチも用意しています。
    手軽で便利ではありますよ。
    もちろん、Apache の設定ファイルで .svn 以下は deny してあります。
    
    シェア
    
    親コメント
ではさっそく対策を (-100: あくどい) (スコア:0)

by Anonymous Coward on 2009年09月26日 5時02分 (#1644447)

それらの名前のファイルをサイトのルートフォルダに作り、全部とあるスクリプトへのsymリンクにします。
そのスクリプトはUAを判別し、OSに応じたささやかなマルウェアを送るように仕組み、
あたかも.svn-baseとかをダウンロードできたかのように見せてですね...
攻撃者が嬉々として開けたら、そこには...
「通報しました」との文字が！
# よいこはマネしないでください
- Re:ではさっそく対策を (-100: あくどい) (スコア:2)
  
  by annoymouse coward (11178) on 2009年09月26日 11時53分 (#1644493) 日記
  
  あなたが通報されます。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ソビエトロシアでは、攻撃者があなたを通報する！

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲット More ログイン

原文のミスと訳注の勘違い (スコア:5, 参考になる)

Re:[del]原文のミスと[/del]訳注の勘違い (スコア:2)

Re:[del]原文のミスと[/del]訳注の勘違い (スコア:3, 参考になる)

Re:[del]原文のミスと[/del]訳注の勘違い (スコア:2)

初歩的な翻訳ミスでオフトピに話題をさらわれる (スコア:0)

Re:初歩的な翻訳ミスでオフトピに話題をさらわれる (スコア:1)

Re:初歩的な翻訳ミスでオフトピに話題をさらわれる (スコア:1)

試さないように (スコア:2, 興味深い)

Re:試さないように (スコア:4, おもしろおかしい)

Re:試さないように (スコア:1, 参考になる)

Re:試さないように (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:試さないように (スコア:4, 興味深い)

Re:試さないように (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:試さないように (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

この辺も危ないかな？ (スコア:2, 興味深い)

Re:この辺も危ないかな？ (スコア:1, 参考になる)

先生が狙ってる (スコア:2, 興味深い)

セキュリティーグループ (スコア:2)

そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)

Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:3, 参考になる)

Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:3, おもしろおかしい)

Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:2)

Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)

Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:2)

Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)

Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)

Re:そ…それは単純にソースコードを盗まれる以上に痛い… (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

似たような例として… (スコア:1)

Re:似たような例として… (スコア:5, おもしろおかしい)

Re: (スコア:0)

そもそも (スコア:0)

Re:そもそも (スコア:4, 興味深い)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:そもそも (スコア:2, 参考になる)

ではさっそく対策を (-100: あくどい) (スコア:0)

Re:ではさっそく対策を (-100: あくどい) (スコア:2)

Re: (スコア:0)