人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

CGIプログラムに欠陥があって、官庁などのWEBサイトから個人情報が引き出せたという記事が今朝1/4の朝日新聞1面TOPに載っていましたが、具体的に「欠陥」とはどういう内容なのでしょうか?XSSの対応をしていないとかでしょうか?

●質問者: ka0007
●カテゴリ:コンピュータ
✍キーワード:CGI TOP webサイト XSS プログラム
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● ojizosama
●5ポイント

http://pcweb.mycom.co.jp/news/2003/12/16/13.html

長野県、住基ネット侵入実験結果を公表 - 個人情報の改ざんが可能? | ネット | マイコミジャーナル

winのセキュリティホールとか、そのレベルのようです。

◎質問者からの返答

CGIプログラムの欠陥に関する話を伺いたかったのですが。。。


2 ● sushi0
●35ポイント

https://www.netsecurity.ne.jp/article/1/11850.html

おそらくこの記事と同一の事件だと思います。XSSではなくCGI自体の欠陥のようですね。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2003/11.html#2003...

セキュリティホール memo - 2003.11

関連項目へのリンクがあります。

サーバーに渡されたパラメータがCGIプログラムでパス名として解釈されてしまい、ファイルを読み込むことができてしまったということのようですね。

http://www.asahi.com/tech/asahinews/TKY200401030222.html

これが元記事と考えて検索しました。

違う件でしたらすみません。

◎質問者からの返答

的を得た回答ありがとうございます。

紹介いただいたWEBを読むのにかなり時間がかかりましたが、なんとなく理解できました。


3 ● YasudaS
●20ポイント

http://www.office.ac/tearoom/noframe.cgi

Tea Room for Conference

「サーバの中のファイル表示をする機能を持つcgiが、制限無くどのようなファイルをも表示できるようになっていた」

とのことです

◎質問者からの返答

ありがとうございます

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ