アカウント名:
パスワード:
サーバーの設定ミスによりデータベースが公開状態になっており、サーバーのIPアドレスを知っていればアクセス可能であったと発表
ajaxなhtmlソースからバレた?
>ajaxなhtmlソースからバレた?
多分No。
発見者であるChris Vickeryさんが、MacKeeperでユーザー情報が漏洩していることを発見した [krebsonsecurity.com]時にはShodanで27017番ポートが開いているサーバーを検索して見つけたと言っていました。サンリオタウンの「サーバーの設定ミス」も、ポートが開いていてShodanで探索結果として掲載され、認証なしで操作できたのではないかと、私は推測しています。
もう、「MongoDBの脆弱性」として騒ぐべきなのではないか?
そこにいるエンジニアの脆弱性だし。Oracleでsystem/managerscott/tigerを有効にして無制限の権限与えてetc...と同じ。こういう所はWindowsのAdministrator、Linuxのrootも同じことやってる可能性高い上に、自分達が絶対正義なんだよね。ISO/IEEE規格ですら自分の意にそぐわないのはバグ呼ばわり(それ以前に知らない)。そういうトコで反論しても味方は一人も居なかった上に人格攻撃と嫌がらせのオンパレードだったので、逃げる以外の術はないよ。
まあ人格攻撃はされるだろうなあって感じの文章
http://security.srad.jp/story/15/12/17/1649245/ [security.srad.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
DBサーバにグルーバルIPアドレス振ってたの? (スコア:1)
ajaxなhtmlソースからバレた?
Re:DBサーバにグルーバルIPアドレス振ってたの? (スコア:4, 興味深い)
>ajaxなhtmlソースからバレた?
多分No。
発見者であるChris Vickeryさんが、MacKeeperでユーザー情報が漏洩していることを発見した [krebsonsecurity.com]時にはShodanで27017番ポートが開いているサーバーを検索して見つけたと言っていました。
サンリオタウンの「サーバーの設定ミス」も、ポートが開いていてShodanで探索結果として掲載され、認証なしで操作できたのではないかと、私は推測しています。
Re: (スコア:0)
もう、「MongoDBの脆弱性」として騒ぐべきなのではないか?
Re: (スコア:0)
そこにいるエンジニアの脆弱性だし。
Oracleで
system/manager
scott/tiger
を有効にして無制限の権限与えてetc...と同じ。
こういう所はWindowsのAdministrator、Linuxのrootも同じことやってる可能性高い上に、自分達が絶対正義なんだよね。
ISO/IEEE規格ですら自分の意にそぐわないのはバグ呼ばわり(それ以前に知らない)。
そういうトコで反論しても味方は一人も居なかった上に人格攻撃と嫌がらせのオンパレードだったので、逃げる以外の術はないよ。
Re: (スコア:0)
まあ人格攻撃はされるだろうなあって感じの文章
Re: (スコア:0)
http://security.srad.jp/story/15/12/17/1649245/ [security.srad.jp]