パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

米シティグループ顧客情報流出、その手口は単純だった」記事へのコメント

  • by elderwand (34630) on 2011年06月16日 9時05分 (#1971112) 日記

    何が問題だったのか、記事を読んでもすっきり書いてないので、自分なりに脆弱性の所在と今回の手口をまとめてみる。

    脆弱性の所在:
    認証と認可をきっちり分けてなくて、認証だけで全部の資源へのアクセスを認可してしまってること。
    認証というのは Apache のモジュールでいうと mod_authn_* であり、認可は mod_authz_* 。
    あるいは「認証領域」という言葉で議論することもあるかもしれない。

    手口:
    という脆弱性があるため、自分のカード以外でも番号が分かっていれば、その情報にアクセスできてしまう。番号が分かってなくても、総当たり的にカード番号をとっかえひっかえしてアクセスすれば当たるものには当たる。しかし、はずれも多いわけだから、ログチェックをきちんとやっていればもう少し被害の小さい段階で発見できたはずでもある。

    #だと、思ったんだが、違うかな?

    類似の脆弱性:
    よくあるのが、../ で上のディレクトリをたどれたりすると、 /usr1/../user2 で user1 の認証を通っていると user2 へアクセスできてしまうみたいなやつ。某オープンソースの Web システムで実際にあった話。

    • by Anonymous Coward
      そんなややこしい話なんですかね?

      単に、口座番号に紐付けられたクレジットカードの情報を確認したり修正したりする画面が用意されていて、
      その画面へのアクセス手段が http://example.com/tourokujouhou.cgi?kouzabangou=0123456 みたいな感じだったという話だと読んだのですが。

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...