パスワードを忘れた? アカウント作成
146394 story
セキュリティ

「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲット 51

ストーリー by hylom
exportしようね 部門より

あるAnonymous Coward 曰く、

TechCrunchの記事「初歩的な管理ミスで3300もの有名サイトがソースコードを盗まれる」によると、ロシアのセキュリティグループが、「.svn」や「CVS」といったSubversionやCVSの管理ディレクトリを狙ってWebサイトの非公開ファイルを盗み出す手法により、3300あまりのWebサイトのソースコードを入手することに成功したそうだ。

原理は簡単で、Webサイトでうっかり公開されてしまっている.svnや.cvsといったディレクトリを探し、発見したらその中身のデータを吸い出すだけ。確かに言われてみればうっかり見逃しそうなミスではある。皆様もご注意くださいませ。

(追記@14:50)原文では.cvsとなっているが、コメント#1644247で指摘されているとおり、CVSの管理ディレクトリは「.cvs」ではなく「CVS」である。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by tietew (6130) on 2009年09月25日 14時49分 (#1644247) ホームページ
    • CVSの制御ディレクトリは "CVS" で、".cvs" ではありません。
    • 少なくともApacheの「デフォルトの構成 (=Apache配布のtarballやディストロのパッケージ)」では、ドットで始まるファイルやディレクトリを不可視にはしてありません。不可視なのは ".ht" で始まるファイルです。
    • ディレクトリリスティングを返さない設定にしていても防御できません。例えば .svn/entries にはファイルとディレクトリの一覧が書いてあります。
  • by Anonymous Coward on 2009年09月25日 14時23分 (#1644233)
    日本だと「できるかな?」といって安易に試すと罪に問われる可能性があります。
    鍵が掛かってなくてもドラクエもどきに家に入って箪笥を開けてはいけません。

    #WEBサイト相手だと試すのがものすごく安易とはいえ、さぁ。
    • Re:試さないように (スコア:4, おもしろおかしい)

      by takl (14577) on 2009年09月25日 21時43分 (#1644393)
      http://srad.jp/.svn を試したら逆に謝られました。
      徹夜で探してくれるそうです。
      そのうち upload されるかも。
      親コメント
    • by Anonymous Coward on 2009年09月25日 16時50分 (#1644292)
      「なっ、何この人ッ!人んちに勝手に入ってきてッ!
      「勝手に箪笥を開けて中を調べているッッ!
      「特に金目のものがなかったから怒ってるみたいだッッッ!!
      「ああッ!やくそうのひとつでも入れておけばよかったッッッッッ!!!
      親コメント
    • by Anonymous Coward

      鍵がかかってないなら良かったと思いますが。

      • by Anonymous Coward
        セキュリティホールがあっても使ってはいけません。

        >電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、
        >アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為

        # 法律の穴にも突っ込んじゃだめですよ
        • by tietew (6130) on 2009年09月25日 14時56分 (#1644249) ホームページ

          ただ、今回の場合は対象のファイル群がアクセス制御下にあったとは言えないため、(日本の不正アクセス禁止法で言う)不正アクセスに該当するとは言い難いと思います。

          例の件では、

          1. アクセス制御下にあり、通常のリクエストでは取得できないファイルを
          2. ディレクトリトラバーサルというセキュリティホールを通じてアクセス制御を迂回し
          3. アクセス可能とした

          ので不正アクセスである、とされました。

          親コメント
          • by Elbereth (17793) on 2009年09月25日 20時54分 (#1644374)
            例の件てのは、Excel……じゃないや、Office事件のことやね。
            親コメント
          • by Anonymous Coward
            > 「例の件では、……ので不正アクセスである、とされました。」

            それは違う。判決文にはそんなふうに書かれてない。
            思い込みを広めるのはやめよう。
          • by Anonymous Coward
            擬似不正アクセスってことですね
      • by Anonymous Coward

        >鍵がかかってないなら良かったと思いますが。
        扉の前に鍵が落ちてる場合は、鍵をかけているもんだと見なしてくれるもんなんでしょうか?
        うちはパスワードかけてるし~とか思ってたら、
        admin, guestがデフォルト設定のままになってることに気がついて慌てて修正しましたorz

      • by Anonymous Coward

        一箇所(ひとつのプロトコル)でも鍵がかかってればアウト [cnet.com]だったと思います。

        • by doda (31157) on 2009年09月25日 22時55分 (#1644406) 日記

          一つのプロトコルでアクセス制御がかかっているだけで即アウトというわけではないと思います。

          リンク先のページで書かれているのは、アクセス制御機能の有無についてですよね。
          アクセス制御機能の有無については、プロトコル毎に別々に考えるのではなく、計算機として持っているかを考えると。
          しかし、不正アクセス禁止法で禁止されているのは、アクセス制御機能によって行われている制限を回避する事です。
          実際、次のページ [cnet.com]では、

          もっとも、本件サーバにアクセス制御機能があるとしても、被告人の本件行為によってなし得る状態になった本件の各特定利用が、アクセス制御機能によって「制限」されていたかについては、さらに検討を要する。

          識別符号を入力してもしなくても同じ特定利用ができ、アクセス管理者が当該特定利用を誰にでも認めている場合には、アクセス制御機能による特定利用の制限はないと解するべきであるが、

          と書かれていますし、HTTPで公開されているコンテンツに関してはアクセス制限がかかっていないと考えていいと思います。

          Office氏の件に関しては、#1644249 [srad.jp]でも書かれているように、HTTPで公開されていないファイルをCGIプログラムの脆弱性を利用してアクセスしたのが問題だったのでしょう。

          親コメント
    • by Anonymous Coward

      > さぁ。

      促しているように見えるのは気のせいでしょうか

    • by Anonymous Coward

      まじっすか。
      mozillaには、HTMLのlink要素にfaviconの記述が無ければ勝手に探しに行く設定があったり、昔、自作のクローラで.htaccessとかを見に行ってたコトがあるんだけど、大丈夫なのだろうか・・。

  • by Anonymous Coward on 2009年09月25日 21時09分 (#1644381)

    Thumbs.db Windowsのサムネイルキャッシュ
    .DS_Store Macのリソースフォークの残骸

    たしかこれらのファイルって、同じフォルダのファイル一覧がばっちり入ってるような

    • by Anonymous Coward on 2009年09月27日 18時31分 (#1644776)

      今確認したけど、Thumbs.dbはWindows7で作られなくなってる様子。
      desktop.iniも出来ないみたい。
      再表示時にサムネイルが再生成されてる感じでもないので、きっとどっかで生成されてるんでしょう。

      親コメント
  • by Anonymous Coward on 2009年09月26日 0時13分 (#1644425)

    googleでとある技術について検索していて、
    上位にどこかの企業のTracのwikiがヒットしたことがありました。
    で、好奇心でリポジトリに対してデフォルトID/デフォルトパスワード叩いたら
    ものの見事にログインできてしまって。
    さすがにアレでしたので、
    「外から丸見えですよ」ってメッセージ残して退散しました。
    さすがに、次の日には塞がれてましたが。

    // 色々とアレなのでACで

  • ロシアのセキュリティグループが、「.svn」や「CVS」といったSubversionやCVSの管理ディレクトリを狙ってWebサイトの非公開ファイルを盗み出す手法により、3300あまりのWebサイトのソースコードを入手することに成功したそうだ。

    こういういたずらをして恥じない集団を「セキュリティーグループ」と呼ぶことには違和感があります。

    まあ、これを機にウェブサーバーの設定を再確認しましょうということで。

  • 最新のソースコードだけでなく、過去の間違いも全部盗まれるって事ですよね…

    1. 単純に考えても、恥ずかしい失敗がたくさん露呈するって事で、もうその段階で十分恥ずかしい
    2. が、本当に問題なのは、
      1. ある、一定パターンで間違える人がいて、
      2. そのパターンで大量に間違いを生産し、
      3. それをテストで発見したり別の人が直したりして大半は潰した、

      なんて場合が露呈することだ。当然「残っているソースコード中から同じパターンを探す」事をすれば、同じような間違いはまだ何個か残っているだろう。その中にはセキュリティホールになったり、裏技的な使い方ができたりするものも含まれているだろう。

    というわけで、これはかなり手痛い場合がありえますね。

    --
    fjの教祖様
  • by feenal (37359) on 2009年09月25日 15時46分 (#1644272)
    すっごいひどいミスだけど、昔webサイト全体のバックアップを取ろうとして、

    cd /htdocs
    tar ./www -f ../www.tar.gz
    cp www.tar.gz /Backups

    で、tarボールを忘れたままほったらかしにして怒られたことがある。

    • Re:似たような例として… (スコア:5, おもしろおかしい)

      by Anonymous Coward on 2009年09月25日 16時49分 (#1644291)

      > tar ./www -f ../www.tar.gz

      バックアップが取れていなくて怒られたのでは?

      親コメント
    • by Anonymous Coward

      普通は htdocs の上のディレクトリで
      tar zcf www.tar.gz -C htdocs .
      とするものじゃないの?

  • by Anonymous Coward on 2009年09月25日 17時03分 (#1644300)
    Webに公開するファイルと同じフォルダに非公開のCVSやらを置く理由が分からない
    • Re:そもそも (スコア:4, 興味深い)

      by masarakki (33893) on 2009年09月25日 18時02分 (#1644332)

      ディレクトリごとそのままアップロードして.svnが乗っちゃうパターンじゃないでしょうか

      ええ、今消しました・・・

      親コメント
      • by Anonymous Coward
        アウトソーシングしているプロジェクトのソースファイルのアーカイブに、CVSと.DS_STOREが付いてくるようなもんですね
        • by Anonymous Coward

          WEBアプリの中には開発版等では取り除かず、そのまま固めて圧縮してリリースしてるものもあったり
          # sourceforgeでも散見されるかも
          安定版でさすがにそれはないと信じたい。

    • by Anonymous Coward

      $ vi index.html
      $ svn commit -m "hogehoge"
      $ ssh example.com
      example:$ cd /var/www
      example:$ svn update
      とか

      • Re:そもそも (スコア:2, 参考になる)

        by Yak! (32970) on 2009年09月25日 21時21分 (#1644386) ホームページ 日記

        Subversion のリポジトリと公開用 Web サーバが同じで ssh で入るのも面倒なので
        post-commit フックを使って svn update がかかるようにしています。
        即時公開されるのもどうよ、という場合に対してはテスト用に同じ仕掛けを
        してあるブランチも用意しています。
        手軽で便利ではありますよ。

        もちろん、Apache の設定ファイルで .svn 以下は deny してあります。

        親コメント
  • by Anonymous Coward on 2009年09月26日 5時02分 (#1644447)

    それらの名前のファイルをサイトのルートフォルダに作り、全部とあるスクリプトへのsymリンクにします。
    そのスクリプトはUAを判別し、OSに応じたささやかなマルウェアを送るように仕組み、
    あたかも.svn-baseとかをダウンロードできたかのように見せてですね...

    攻撃者が嬉々として開けたら、そこには...
    「通報しました」との文字が!

    # よいこはマネしないでください

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...