おーーーい!おまいらの恥ずかしい購入履歴が... ん・・・むぅ・・・でちゃいそう><
1 : オオウナギ(神奈川県):
オープンソースのオンラインショップ構築パッケージ 「osCommerce」に深刻な脆弱性
【危険】ログイン処理をバイパス(osCommerce)【即死】
oscommerce(v2.2RC2a)
ざっと調べてみると、admin/file_manager.phpを利用して、書き込み可能なディレクトリ(images等)に
リモートシェルスクリプト(使ってみましたが非常に高機能)を設置して、それを足がかりに好き勝手に改竄するという感じです。
マクシモクブログの場合は特に改竄されたわけではなく、犯行声明が置かれていっただけなのですが、
酷い場合にはトップページにトルコの国旗がはためいていたりするみたいです。
(中略)
あと、多分に絶対configure.phpは見られちゃっていますので、管理用のパスワードや
ユーザーネーム(サーバー・データベース等、全て)は速やかに変更する必要があります。
よし、これでタイトルの即死はもう無いよね?
とは、残念ながらならないんです。
これは今回の改竄の首謀者であるTheWayEndについて調べる過程で発見したんですが、
管理エリアの全てのページを閲覧は当たり前、ゴニョゴニョまで出来そうな感じの攻撃方法があるんですよ
http://www.mksmk.jp/item_189.html
依頼236
http://tsushima.2ch.net/test/read.cgi/news/1276077806/236
|
|
|
2 : ブラックアロワナ(dion軍):2010/06/11(金) 22:05:40.42 ID:BXuUT2Lz
つまりどういうことだってばよ・・・?
3 : サンマ(dion軍):2010/06/11(金) 22:11:15.54 ID:quKors6I
>>2
死ねばいいんじゃね?
死ねばいいんじゃね?
4 : キッシンググラミー(鳥取県):2010/06/11(金) 22:14:42.29 ID:D1R182ZB
わしのえっちなフィギュアの購入履歴もだだ漏れだすかー!?!
5 : ヒオドン(東海・関東):2010/06/11(金) 22:20:57.33 ID:d30msNHk
馬鹿だな
存在自体が恥ずかしいニュー速民が今更購入履歴を晒された程度で動じる訳ないだろ
存在自体が恥ずかしいニュー速民が今更購入履歴を晒された程度で動じる訳ないだろ
6 : アブラボウズ(奈良県):2010/06/11(金) 22:22:31.26 ID:BwLqBlLv
>>5
さすがにエロゲの購入履歴を晒された時は顔が熱くなった
さすがにエロゲの購入履歴を晒された時は顔が熱くなった
7 : ヨツメウオ(大阪府):2010/06/12(土) 00:05:03.65 ID:xhgAmhGV
どこで出来るとはアレだが、
管理エリア/customers.php/login.php
こんな感じで名前は見れるなぁ。
管理エリア/customers.php/login.php
こんな感じで名前は見れるなぁ。
8 : ヨツメウオ(大阪府):
お ま い ら 余 裕 だ な