アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
SQLインジェクションだけ? (スコア:2, 興味深い)
| 例をあげれば、その結果ファイアーウォールによるアクセス制限が甘くなり、
| 弊社のシステム開発を行うスタッフとデータのやり取りを日々実行している内に、
| 拠点のグローバルIPアドレスに対して、SQLサービスのアクセスがインターネットを
| 介して可能な状態になっていました。
え~っと、SQLサービスがフィルタリングされていなかった?
# 「例をあげれば」ってなんだろう...。
Re: (スコア:3, 参考になる)
お知らせの中に書いてあった「中国のブログ」と思われるものを読みました。
やや不明瞭ですが他のポートも豪快に開いていたように書いていますし、2006年8月24日の段階では、それ以前の問題としてシェルを完全に取られていて、任意のコマンドを実行し放題です。サーバのアカウントの作成方法も丁寧に解説されています。書いた人は自分はアカウントの作成はやってないと言っているようですから、実際当時においても出来たのかは分かりません。でも当然、やってみたんじゃないのかなぁ、と疑わしいものです。
よって、SQLサーバが外に開いていようが閉じていようが、そんなのはもはや非常にささいな事ではないでしょうか。
Re:SQLインジェクションだけ? (スコア:1)
私はその「中国のブログ」とやらを探す気力はありませんでした。(^_^;;
確かに例示されたフィルタリング云々は些細な事でしょう。
ですがその些細な事を例示して誤魔化しているように感じました。
だって、「開発拠点に対してフィルタが緩かった」と言われたら、
「それ以外へのフィルタは有効になっていた」と誤認しませんかね?
# ま、そもそも開発拠点からDBアクセスしていた可能性があるってことは、
# ネット上を暗号化されない平文データが流れてたんだろうなぁ、と
# 推測できてしまいますが。