はてなブックマーク - 初歩的な管理ミスで3300もの有名サイトがソースコードを盗まれる

初歩的な管理ミスで3300もの有名サイトがソースコードを盗まれる

jp.techcrunch.com

タグ : security セキュリティ subversion Apache web development ネタ server インターネットサーバ管理

コンピュータ・IT 127 users

ロシアのセキュリティグループが3300あまりのWeb サイトのソースコードの入手に成功し、そのときの手口を詳しく書いた記事をブログに投稿した（翻訳はここ）。グループは、apache.orgやphp .netのような大きくて有名なサイトでも初歩的な情報リークがあり、Web サイトのファイルの構造とソースを露呈していることを発見した。この情報は、よく使われているバージョンコントロールツールSubversionのメタデータのある隠れディレクトリを、Webからリクエストすることによって取り出せる。その手口はかなり前か... > このページを見る

最終更新時間: 2009年09月24日18時58分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

flabaka subversion
ソースコードが盗まれる危険性 2009/10/16
no_ri security, Vulnerability
古典的な脆弱性だけど、結構残ってるものだな 2009/10/06
satojkovic subversion, security
お、そういうことがあるのか 2009/09/27
mumincacao security, svn, web
何度言ってもばっくあっぷ含めてなくならないから cron さんに強制掃除してもらってるなぁ・・・　でも svn ので～たが最新じゃないとらっぷはさすがに遠慮したいところなのです（´・ω・｀；【みかん 2009/09/25
toteri @セキュリティ
http://www.test.com/.svnでリポジトリが丸見え 2009/09/25
chroQ security
ちゃんとdeployしろっていうだけだよね。／.cvsって何だ？と思ったが原文が既に間違ってる。／リスティングしてなくてもアクセスはできるだろ。訳者もダメだな。 2009/09/25
mohno TechCrunch, 翻訳, 岩谷宏
↓誰かと思ったら岩谷宏氏か。久々にみる名前。 2009/09/25
hurvinek *セキュリティ, *ネタ
‘ディレクトリリスティングを返さない’とか関係ないし．export教えて上げたらいい話 2009/09/25
shoma ネタ
php.net のコードはフッタのshow source から辿ると簡単に盗めるぜ！svn.php.net から見たほうが楽だけどな 2009/09/25
pmakino セキュリティ, ネタ, Apache
「Webサイトのソースコード」って何の誤訳? サイトを構成するサーバサイドスクリプトのソースってこと? / 「エキスポート…」<昔 Explorer のことをエキスプローラって呼ぶ友達に感じた違和感 2009/09/25
n2s あとで言及？
そういや、Apacheのhttpd.confのデフォ設定に<FilesMatch "^\.ht">てのがあるけど、"^\."にすべきなんじゃないかな。 2009/09/25
tell-k セキュリティ
『その手口はかなり前からよく知られているもので、アプリケーションの欠陥というよりもサーバの管理者やデベロッパの不注意につけ込む。Subversionのメタデータはデベロッパがコードの作業用コピーを置く場所で、Webを 2009/09/25
koumiya
.svnをWEBの公開フォルダにおきっぱってこと？ 2009/09/25
T-miura
どこの言語の文化なんだろ・・・コンパイル、ビルドがいる言語は普通明らかに関係ないよな・・・・スクリプト系の言語特有のはなしか・・・？ 2009/09/25
fuktommy security
Apache.orgとかPHP.netとかは隠さなきゃいけないものでもあったんかな。見てもいいよ状態で置いてあったら盗むという言葉は不適切なのだが。 2009/09/25
pitworks Apache, セキュリティ, Subversion, バージョン管理, 事例, サーバ構築, サーバ管理
よく使われているバージョンコントロールツールSubversionのメタデータのある隠れディレクトリ ex)http://www.test.com/.svn/ を、Webからリクエストすることによって取り出せる // Apacheの設定で.から始まるディレクトリの接続拒否を 2009/09/25
americanboss ネタ
管理ミスでも手抜きでもないと思うけどなぁ。外部公開してるWebサーバーにSVNのファイルがあったら、作ったやつor転送した奴蹴っ飛ばすよそんなもん。 2009/09/25
okdt security, programming
SVN 2009/09/25
gwgwgw security
エクスポートとエキスポートってどっちがいいんだろ 2009/09/25
lizy subversion, security
deployする場合はcheckoutではなくexportしましょうというお話。ディレクトリリスティングは保険ですかね 2009/09/24