印刷用表示へ切り替え 通常表示へ切り替え 更新履歴を表示 更新履歴を隠す
Mon May 10, 2004
MovableType ローカルからの上書き攻撃

使いやすさと柔軟さを兼ね備えたウェブログツールとしてポピュラーな MovableType だが、構造が分かりやすいだけに、簡単な攻撃ツールにもなり得る。実際は CGI であれば必ずこの危険性があるのだが、MovableType はお手軽なのである。

■ ■ ■

ここで言う「攻撃」とは、MovableType で構築されているサイトへの、同じサーバ上にある別ユーザの MovableType による攻撃である。

お手軽な攻撃としては次が考えられる。

  • 公開済みエントリの上書き攻撃
  • データベースの上書き攻撃
例えば、エントリの出力先に相手のディレクトリを指定して再構築してしまえば、上書き攻撃となる(データベース上書き攻撃は少し難しい)。これには、サーバのディレクトリ構造が予想できなくてはならない。

したがって、危険なのは次の条件を満たすサイトだと言えるだろう。

  • MovableType をユーザ自身が設置している
  • URL がサーバ名とユーザ名で構成されている
バーチャルホストであっても、サーバ名とユーザ名がホスト名に含まれていれば、他のユーザのディレクトリが予想可能となる。
  • URL からアーカイブディレクトリが予想できる
  • コメントやトラックバック用 CGI の URL から CGI のディレクトリが予想できるため、同じディレクトリにある mt.cfg のパスが分かってしまう

自宅サーバの場合、外部のユーザから守ればよいだけなので、.htaccess を設置して mt.cfg を参照できないようにすればよい(nlog(n): mt.cfg とデータベースを守るnlog(n): mt.cfg 「以外」が丸見え)。しかし、複数のユーザが同じサーバを共有している場合、ローカルユーザは CGI 経由で他のユーザの mt.cfg を読むことができる。そして、これは防ぐことができない。

MovableType をベースに独自の作りこみをして、ウェブログツールとしてユーザに提供しているサイトの場合、恐らく、このような攻撃の危険性はないと思われる。

この問題は、MovableType 自体に手を入れることなどで回避できるのではないかと思われる。例えば次のようなものである。

  • ウェブリダイレクト経由での CGI の動作を可能にする
  • mt.cgi, mt.cfg のディレクトリと、その他の CGI (mt-comments.cgi, mt-tb, mt-search.cgi など) のディレクトリを分離する
今後のバージョンアップに期待したい。

2005年5月10日追記:
nlog(n): mt.cfg 「以外」が丸見え へのリンクを追加しました。

Posted by n at 2004-05-10 02:03 | Edit | Comments (0) | Trackback(0)
Trackbacks

  • 「手違いで複数トラックバックを送ってしまった!」という場合でも気にしないでください (重複分はこちらで勝手に削除させていただきます)
  • タイムアウトエラーは,こちらのサーバの処理能力不足が原因です (詳細は トラックバック送信時のエラー をご覧ください)
  • トラックバックする記事には,この記事へのリンクを含めてください(詳細は 迷惑トラックバック対策 をご覧ください)
Comments
Post a comment
  • 電子メールアドレスは必須ですが,表示されません (気になる場合は「メールアドレスのような」文字列でもOKです)
  • URL を入力した場合はリンクが張られます
  • コメント欄内ではタグは使えません
  • コメント欄内に URL を記入した場合は自動的にリンクに変換されます
  • コメント欄内の改行はそのまま改行となります
  • 「Confirmation Code」に表示されている数字を入力してください (迷惑コメント対策です)


(必須, 表示されます)


(必須, 表示されません)


(任意, リンクされます)


Confirmation Code (必須)


Remember info (R)?