ちはろぐ

« 直前のページへ戻る

うちが用意した例。何も危ないものは仕込んでないので興味があるヒトは開いてみてみてくださいな～
http://chihalog.tomo-net.org/test/test.cgi?26-01.jpg
http://chihalog.tomo-net.org/test/test.cgi?test1.txt
http://chihalog.tomo-net.org/test/test.cgi?test2.txt
http://chihalog.tomo-net.org/test/test.cgi?test3.txt
上記のようなサーバー内の実際はブラウザではアクセスできない範囲にあるファイルを表示できるCGIスクリプトがあったとして、全く変な位置(フォルダ)やファイルを指定されることを考慮してないスクリプトであったりすると……

サーバールートのブラウザではアクセスできない /home/anq_data/0001.txt にアンケートの回答結果とかがあったりすると http://chihalog.tomo-net.org/test/test.cgi?/home/anq_data/0001.txt で取り出せたりすることもあります。他にはアクセス制限をかけているフォルダのファイルでも読めたりすることもあります。

うちが例にだした例を見せるために作ったCGIスクリプトは、渡されたパラメーターからFreeBSD/Linuxなどで危険そうな記号(イマイチたりないかも)を排除して、さらに英語で文章に使えない文字と数字と拡張子のための「.」以外を消しすという2重に前処理をしてます(大げさに言うほどでも無いことだけど)

スクリプトの内容

>#!/usr/local/bin/perl

> 

> $PATH='./';

> 

> $buf = $ENV{'QUERY_STRING'};

> $buf =~ s/[\/\|\&\'\"\`]//g;

> $buf =~ s/[^\w\d\.\-]//g;

> 

> $buf =~ /\.([a-zA-Z0-9]+)$/;

> $ext = $1;

> $ext =~ tr/a-z/A-Z/;

> 

> if($buf ne '' && $ext ne '' && (-e $PATH . $buf)){

> 	if($ext eq 'JPG'){

> 		print "Content-type: image/jpeg\n\n";

> 	}else{

> 		print "Content-type: text/plain\n\n";

> 	}

> 

> 	open(FHAND,$PATH . $buf);

> 	print <FHAND>;

> 	exit;

> }

> 

> print "Content-type: text/html\n\n";

実際はこんなスクリプトで、読み込んで表示するファイルはブラウザでアクセスできないトコに置いている訳でも該当ファイルのパーミッションを読み込み禁止にしてるわけでもないので、以下のURLで読めるけど。でも他の場所にあるファイルは指定できません。
http://chihalog.tomo-net.org/test/26-01.jpg
http://chihalog.tomo-net.org/test/test1.txt
http://chihalog.tomo-net.org/test/test2.txt
http://chihalog.tomo-net.org/test/test3.txt
……CGIを経由して表示されるモノと、ブラウザで直接表示されるモノが同じとは限らないけども。前者はサンプルとして提示しているスクリプトと違って本当は別の場所からファイルを読ませている可能性もあるし、後者はWebサーバーの機能で内部的にURLが加工されてる可能性もあるし(うちのサーバーでは2005/4/6までは出来ないけど。その日に追加される機能以外にも他の手法があったかな？)

で、原告側のACCSは「ASKACCS」というサイトで、ユーザーからの権利相談なんかの投稿のデータを「不正でもなんでもないアクセス」でファイルを取り出せるCGIスクリプトを使って掲示板類の自動設置をサービスしてたレンタルサーバー会社(「ファーストサーバ」って会社らしい)にサーバーを借りて(それも他のユーザーと共有だったよーな)、自分たちでセキュリティチェックもせずに運用してたと言うんだから凄いナァー……
/cgi-bin/に蓋をせずそこにアンケート結果データを置いたりしたりしたとこもあって大騒動されりしたけども、そんなのより酷いです。
読まれることを想定されてない位置にあるファイルを読めそうなCGIスクリプトがあったら、うちでさえ試してみちゃうけど。

うちの中では、CGIスクリプトで読み書きするファイル名をブラウザからのパラメーターとして受け渡しをする場合は、サーバー上でコマンドを実行されたり意図しない位置にあるファイルを指定できる危険な記号は取り除くのが、うちがPerlを覚え始めた7年以上前から常識なんだけども……
なのでうちが作るブラウザでファイルをアップロードできたり、表示するファイルをブラウザから指定できるスクリプトは大抵の場合危険な記号が使えないどころか、漢字さえ使えずa-zA-Z0-9と「.」「-」「_」くらいしか使えません(判定が面倒だから手を抜くためもあったり……)

正直言って「不正でもなんでもないアクセス」で有罪判決がでたりすると、迷惑と言うか……
CGIスクリプト類を作る時にセキュリティを全く配慮してないモノを置いといて、取り出されたら取り出したほうが今回のような判決を受けるデータを取り出せるようにして、引っかかったヒトをぜーんぶ訴訟して有罪にしてくださいって感じもしないでもなく。

前にも色々なヒトが話題にしてたけども、Winnyでの逮捕ではP2Pソフトの開発をびびってるひと、今回の件ではセキュリティホールを見つけても連絡をしない/怖くて出来ないと言う風潮も広がりつつあるそうで……とくに後者は親切で危険な部分を通知してあげたら、忘れた頃に強制的に黒い服を着たヒトたちが家のドアを勝手に開けて上がってきて、証拠物として家の中のモノを持ってかれた上に自分まで連れて行かれるという可能性が……