パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

俺のIISを倒してみろ」記事へのコメント

  • の時点で意味ねぇ。

    なんでもありじゃないと。
    ルールに沿ってクラックする馬鹿は世の中にいるのか?
    • > なんでもありじゃないと。
      物理的な攻撃はだめよとか、書かれてるだけだよ。
      英語だからってルールを読んでないのね。

      すんげー、意訳(最後、面倒臭くなった)

      A successful hack includes:
      成功の条件は

      1. Successful web site defacement (subject to the limitations as indicated below)
      1. ウェブサイトの変造(下記の条件を制限とする)

      2. Modification of web server or database computers
      2. ウェブサーバかデータベースサーバの変更

      3. Proven knowledge of content located in "hidden" Microsoft Word document.
      3. "隠した" Microsoft Word
      • > 2. Attacks or modifications of any computer or device besides web server or database computers.
        > 2. ウェブサーバとデータベースサーバ以外は攻撃すんな。

        対象コンピュータの周囲のコンピュータを狙うのは一般的だろうし、
        攻撃者が身元を隠す為に踏台を使うのも日常だろうし、
        これは結構きついルールなんじゃないかなぁ。
        • 周囲を狙うのはIIS自体のHackではないし、
          コンテストなので身元を隠す必要がそもそも無い。
          ぜんぜん趣旨に反してないですよ。
          • 言い方が悪かったですかね。

            「周囲を狙う」のではなくて、「周囲から狙う」という意味です。
            一般的に、外部のコンピュータから攻撃するより、
            周囲のコンピュータから攻撃する方が容易ではな
            • コンテストの主旨は、相変らず理解されていないらしい。

              > 「周囲を狙う」のではなくて、「周囲から狙う」という意味です。

              それは IIS の脆弱性ではありません。
              周囲が Linux で、これを踏み台にして IIS が落せたというのであれば、
              まず Linux の使用をやめるべ
              • > それは IIS の脆弱性ではありません。

                こういうことを言い出す人はいるかと思っていましたが、
                それではIIS(別にIISに限った話ではありませんが)の脆弱性ってなんでしょう?
                それは本当にIISの脆弱性であって、OS、コンパイラ、管理などに全く依存しないものですか?

                コンテストの趣旨として、運用も含めた脆弱性の指摘はウェルカムだと思うのですが。


                > つーか、そういう cracker は相手にする必要もありません。
              • IIS 固有の脆弱性っていうのは、長い文字列を喰わせるとやられるとか、色々あると思います。
                http://www.hackiis6.com/?bug=aaaaaaaaa.....長い文字列とかね
                この程度が思いつかないのであれば、
                ネットワークに接続するプログラムは組まない事をお勧めします。

                > コンテストの趣旨として、運用も含めた脆弱性の指摘はウェルカムだと思うのですが。

                では、原文を読んでみましょう。
                http://www.hackiis6.com/
                1.Most security breaches are caused by not following basic
                security guidelines and best practices. We want to put IIS 6.0
                to the test to se
              • > 最終的に「どう IIS をセットアップするか」という記事にするそうです。

                パラグラフの中程から抜き出したセンテンスを、
                「最終的」な趣旨であるように言うのはいただけませんね。

                1. 正しく設置(imprement)したIISが非常に安全であるか確認したい。
                2. それには、コンテスト形式が面白い。
                3. 攻撃からシステムを守る知識を共有、紹介する。
                 8月号では、「安全なIISの設定」について特集し、
                 今回のIISサーバ(IIS environment)の構築について紹介する。

                私には、あなた
              • 素晴しい訳ですね。
                # 3. は、少し省略されているようですが

                > 3. 攻撃からシステムを守る知識を共有、紹介する。
                >  8月号では、「安全なIISの設定」について特集し、
                >  今回のIISサーバ(IIS environment)の構築について紹介する。

                んー。どこにも ISMS とか出てこないんですね。

                > 私には、あなたが主張しているような(IISの設定に固執した)
                > 了見の狭いコンテストには思えません。

                なぜ IIS 以外の事に対象を広げようとしている様に、
                文章を読まれたのかが不思議でしかたないです。

                > ところで、私が、「長い文字列を喰わせると
              • Re:ルールに沿って攻略 (スコア:0, フレームのもと)

                by z_cubic (20952) on 2005年05月07日 17時05分 (#731944)
                > んー。どこにも ISMS とか出てこないんですね。

                私は、ISMSとは言っていません。
                ただ、IISを動かす技術的な環境についても、
                このコンテストで扱う範囲に入っているでしょうと言っているだけです。


                > なぜ IIS 以外の事に対象を広げようとしている様に、
                > 文章を読まれたのかが不思議でしかたないです。

                o 1.で"implement"という動詞を用いていること。
                o 3.で"how to protect your system"と言っていること。
                o 3.で"an IIS environment"と言っていること。


                > で、周囲の環境から狙う事が、
                > IIS 固有の脆弱性である理由はなんでしょうか?

                申し訳ありませんが、文脈的に意味が不明、
                あるいは極めてミスリードされているようです。
                親コメント
              • > ただ、IISを動かす技術的な環境についても、
                > このコンテストで扱う範囲に入っているでしょうと言っているだけです。

                禁止されているのに?
                2. Attacks or modifications of any computer or device besides web server or database computers.
                2. ウェブサーバとデータベースサーバ以外は攻撃すんな。
                親コメント
              • by Anonymous Coward
                言いたいことはすごくよくわかるし、同意なんだけどね
                「華麗にスルー」
                っていう技術を身につけたほうがいいとおもうんだ。
              • 現在の文脈は:

                AC(#731817)氏:
                > ルールに沿って攻略の時点で意味ねぇ。

                tyuu(#731824)氏:
                > 物理的な攻撃はだめよとか、書かれてるだけだよ。

                z_cubic(#731876):
                > これは結構きついルールなんじゃないかなぁ。

                から始まっています。
                したがって、私がルールを不適切であると考えていることは、
                改めて指摘されるまでもなく明らかでしょう。
                逆に、ルール
              • > 逆に、ルールを正当化するのであれば、コンテストの意義自体に疑問を覚えるということです。
                コンテストの意義は、いざクラックされたときにIISのセキュリティは完璧だった周りのLinux Boxが踏み台にされたせいだと嘯いてWindows Serverへの買い換えを促せることにあります。クラックを防げるかどうかなんてどうでもいいのです。
              • > # モデレーションを不当に感じるのは本人だから?

                通りすがりの私には妥当なモデに見えますよ
              • Re:ルールに沿って攻略 (スコア:1, すばらしい洞察)

                by Anonymous Coward on 2005年05月07日 22時08分 (#732000)
                いや、周囲を認めた時点で趣旨変わるって。
                ま仮に対象を[IIS/データベースを乗っけたマシン全体]と定義する事としてもだよ。
                ・そのお隣にいたDNSサーバをクラックして飛び先を変えて表示内容が変わるように見せかけました、いえーい、とか
                ・周囲に対する攻撃まで認めると、ネットワークのどこかにパケットキャプチャ突っ込んでプロミスキャスで動かして内容げっちゅ、とか
                ....ってのは、IISと関係無かろう?

                これは、俺のIISを倒してみろ、という大会の趣旨に反する。だからだめ。そういうルールな訳ですよ。おかしくないと思うですよ。

                ここら辺まで認める場合は、大会自体がIISに限らない[りあるくらっくたいかい]になっちゃいますですよ。
                そういうのはDEFCONでやりゃあよろしい訳で。
                親コメント
              • どちらも冷静になれよ。
                素直に主催者に問い合わせればいいだけの話でしょ?

                その質問内容と返答をスラドに投稿してくれれば英語が苦手な人も助かると思うよ。
              • オレも通りすがりの一人だが、ご本人様が別アカで真っ赤な顔で必死にモデってる姿が思い浮かびました。

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...