アカウント名:
パスワード:
官公庁のシステム構築入札の条件には必ずと言っていいほどWindowsServerを使うことって書かれている。といって、WindowsUpdateが適切に行われているわけではない。
WindowsUpdateになんの関係が???
大元の書き込みは既知の脆弱性対策が適切に行われているとは限らないという意味の書き込みでは。 ていうか、使用しているソフトウェア・ハードウェアの既知の脆弱性に適切に対応している場合、クラックされた側を責めるのはおかしい気もする。
ミドルの脆弱性の場合、「画面のプログラムに欠陥が見つかった」という言い方はしないから、普通にアプリのバグでは?
アプリ側が適切にサニタイジングしてなくて、パッチ当ててないミドルの脆弱性を突かれた とかじゃないかなぁ。
不正書き込みぐらいならXSS等の可能性もあるが、Web書き換えとなると、投稿フォームの脆弱性だけでは出来ない気がする。
「投稿単位でファイルを作成する仕様で、ファイル名は一度hiddenフィールド経由した上ノーチェック」とかだとフォームの穴で任意ファイル作成が実行可能になるかと。でも多分もっと酷くて、cgiがシェルスクリプトや実行ファイルでエスケープ不適切とかの類じゃないかな。これだと一発で任意コマンドをリモート実行可能になる。
そんなバカな……と思うかも知れないが、LaFoneraって格安ルータは内向きの設定画面にそのバグがあった。おまけにsshサーバも起動設定無しで搭載されていたためそれ起動しておもちゃに出来たという……
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
自業自得 (スコア:-1)
官公庁のシステム構築入札の条件には必ずと言っていいほどWindowsServerを使うことって書かれている。
といって、WindowsUpdateが適切に行われているわけではない。
Re: (スコア:0)
WindowsUpdateになんの関係が???
想定される適切な対策 (スコア:2)
大元の書き込みは既知の脆弱性対策が適切に行われているとは限らないという意味の書き込みでは。
ていうか、使用しているソフトウェア・ハードウェアの既知の脆弱性に適切に対応している場合、クラックされた側を責めるのはおかしい気もする。
Re: (スコア:1)
ミドルの脆弱性の場合、「画面のプログラムに欠陥が見つかった」という言い方はしないから、
普通にアプリのバグでは?
Re: (スコア:0)
アプリ側が適切にサニタイジングしてなくて、パッチ当ててないミドルの脆弱性を突かれた とかじゃないかなぁ。
不正書き込みぐらいならXSS等の可能性もあるが、Web書き換えとなると、投稿フォームの脆弱性だけでは出来ない気がする。
Re:想定される適切な対策 (スコア:0)
「投稿単位でファイルを作成する仕様で、ファイル名は一度hiddenフィールド経由した上ノーチェック」
とかだとフォームの穴で任意ファイル作成が実行可能になるかと。
でも多分もっと酷くて、cgiがシェルスクリプトや実行ファイルでエスケープ不適切とかの類じゃないかな。
これだと一発で任意コマンドをリモート実行可能になる。
そんなバカな……と思うかも知れないが、LaFoneraって格安ルータは内向きの設定画面にそのバグがあった。
おまけにsshサーバも起動設定無しで搭載されていたためそれ起動しておもちゃに出来たという……