パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

tDiary に CSRF 脆弱性」記事へのコメント

  • by Anonymous Coward
    CSRFはわかるのですが、Webサーバ上で任意のスクリプトやコマンドが 実行というのがわかりません。別の脆弱性もあるとかなのでしょうか?
    • by Anonymous Coward on 2005年07月21日 18時53分 (#770100)
      任意のコマンドの例が必要なのですか?

      たぶん回答は↓
      親コメント
      • tdiary の設定には @secure=true というのがあり、
        これが false だと危険な変数代入やファイル操作をチェックしませんので
        ページ書き換えや設定変更 = rubyスクリプトをなんでも実行可能 = 任意のコマンド
        ということになるのだと思います。たぶん。
        親コメント
        • by Anonymous Coward
          えーということは、@secure = true で使っている人には影響ないってことであってますか?
          • by mass (8786) on 2005年07月23日 1時36分 (#770796)
            他の脆弱性と組み合わされない限りは、
            サーバに被害を与えるようなことはされないと思われますが、
            XSS を仕込まれて困るような Web サービスを提供していても
            問題は発生するでしょう。(cookie に依存した何か、とか)

            あとは、自分の日記が気づかない間に自分のものでない意見に
            書き換わっていたりとか、そういう精神的な被害も考えられます。
            こちらのほうが大きいのかもしれません。
            バックアップを取っていない分の自分の日記が全部消されてたら
            かなりショックです……。
            親コメント

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...