Counter

ACCS不正アクセス事件
Site Index

■「URIの引数にファイル名を指定しただけでファイル内容が表示された」って聞いたけど。

 どうやらそうとも言い切れない模様です。問題のCGI「csvmail.cgi」はPOSTメソッドのみを受け付ける仕様になっており、少なくともURIのCGI引数書き換えだけではログファイル「csvmail.log」にはアクセスできない状態でした。また「csvmail.log」が置かれていたディレクトリはwebroot階層下にはなく、通常のhttpd経由のアクセスではこのファイルには到達できなかったと言われています。現段階の情報を総合すると、office氏は:

・CGIポスト用のHTMLをローカルに保存する

・HTMLの内容を書き換えて本来の仕様にはない引数(CGI自体のファイル名)をCGIに渡す

・その結果出力されたCGIのコードを読んで個人情報データが保存されていたファイル名とパスを調べる

・再びHTMLの内容を書き換えて本来の仕様にはない引数(個人情報が保存されていたログファイル名)をCGIに渡す

という手順でログファイルcsvmail.logの読み出しを実行したと推測されます(この項に関して追加・訂正情報がありましたらぜひお教え下さい)。

 この解釈が正しいなら、実際に行われた作業は「単にブラウザのURIコラムのCGI引数部分をファイル名に書き換えただけ」とは言えないことになります。

 ただし、このログファイル名はファーストサーバ(詳しくは「ACCSとヨセフアンドレオンとファーストサーバの関係がよくわからないんだけど。」を参照)の提供する同CGIを利用していたユーザーであれば誰でも知ることができたという点にも注意してください。