パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

JR東日本サイトが改ざんされた模様」記事へのコメント

  • XSSか? でもちゃんと情報出して欲しい。ニュース報道では改ざん後に検索機能を利用した数千人は、ウイルス感染している疑いがあるという。 [mainichi.jp]とか、検索窓の挙動が改ざんされていることが判明し、「影響度合いが深刻と判明したため」 [itmedia.co.jp]とは報道されているけど、これじゃさっぱり判らない。「21日夕に利用者の指摘を受け調査」で23日午前1時40分から一部機能停止だから、
    • 社内では改竄を発見できなかった
    • 確認まで時間がかかっている

    事だけはわかるけど。Zone-H.org にも情報は無いし。

    過去のページが見れるサイトでJR東のサイトの去年のソースを見ると、<form action="http://webseek1.cab.infoweb.ne.jp/cgi-bin/common.cgi" method="post" target="_top"> とかやっているっぽい。「ん? これは検索は別ドメインで、という事かな」と思ったけど、こういう構造だと本質的にクロスドメインでやられ易いような。オレはWebやセキュリティーは詳しくないので判らんが。

    仮に「検索は webseek1.cab.infoweb.ne.jp で実行していた」のであれば、これ自体は netcraft 情報では InfoWebFujitsu Ltd の Solaris 8 / Apache のようだ。OS/Server の Last changed が 7-Jun-2006 って、大丈夫なのか? バージョンを見ようと思ったが、現在 webseek1.cab.infoweb.ne.jp は動いていない模様。

    • こっちもお詫びと訂正: JR東日本のサイトが復旧していたので、ソースを見ると検索は http://www.jreast-search.jp/result/search.php [jreast-search.jp] で行われている。PHP かぁ…それもクロスドメイン…netcraft 情報で jreast-search.jp のドメインを調べると、
      • Netblock owner: KDDI Web Communications Inc.
      • OS: FreeBSD
      • Server: Apache
      • Last changed: 23-Dec-2009

      との事。 telnet の 80 で http://www.jreast-search.jp/result/search.php [jreast-search.jp] のヘッダを見ると…

      Server: Apache
      X-Powered-By: PHP/5.2.4
      Content-Type: text/html; charset=UTF-8

      かぁ。PHP 5.2.4 って、リ2007年9月3日にリース [php.gr.jp]されたバージョンね。5.2系だと最新はPHP 5.2.12 [php.net] だから、8 つ前のバージョンかぁ。だいたい PHP って脆弱性の常連…Finding vulnerabilities in PHP scripts FULL ( with examples ) [milw0rm.com]とか出てるし、古くは 5.2.6 では PHP path translation vulnerability [cert.org]、5.2.7 もPHP におけるクロスサイトスクリプティングの脆弱性 [jvn.jp]が出てるし。5.2.4 だけど、パッチはバックポートしてるのか? そうでなけりゃ、実質「ノーガード戦法」なのですぐまたヤラれそうな予感。

      親コメント
      • by Anonymous Coward

         こりゃ [ascii.jp]、バージョンを上げても別の攻撃手段を使って書き換えられそうですね。

         最新版にゼロデイ攻撃の手段がないことの証明は、悪魔の証明ですよねぇ。

    • by Anonymous Coward

      2. 不正アクセスにより改ざんされたページ及び期間
          ・JR東日本ホームページ内キーワード検索   2009年12月8日(火)21:40~12月21日(月)23:55
          ・大人の休日倶楽部内の東京講座ページ    2009年12月18日(金)11:00~12月22日(火)21:00

      検索のほうは随分長い間放置されてたんですね。使ってる人がいなかったのか。CGIだからグーグルとかも危険サイトの検出できなかったのかな。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...