Google Code Searchの危険な使われ方
「Fun With Google Code Search」によると、 Google Code Searchを使って脆弱なソフトウェアを見つけられてしまうそうです。
実際に、Google Code Search経由で発見されてサーバを乗っ取られた事例が「How Hackers Are Using Google To Pwn Your Site」という記事で紹介されています。 ShoeMoneyが乗っ取られた事例では、恐らくWebサーバの設定ミスで.phpファイルの関連付けを行わない状態で、Google Sitemapsに登録してしまったため、Google Code Searchに自作コードが載ってしまい、それを見たクラッカーがサイトを乗っ取ったのであろうと思われます。
バッファオーバーフロー
strcpy : strcpy\((\w+,\w+) lang:c
sprintf : (sprintf\(\w+,\"%s\",\w+\)) lang:c
SQLインジェクション
ASP : (request.form|request.querystring) lang:asp
Java : (executequery) (request.getparameter) lang:java
クロスサイトスクリプティング
ASP : (response.write) (request.form) lang:asp
PHP GET : echo\s\$_GET lang:php
PHP POST : echo\s\$_POST lang:php
コメント
TODO : TODO lang:c#
FIXME : /FIXME
。。。 : "I think this code is broken"
最近のエントリ
- go.jpサブドメインが不正利用可能な状態だった件について
- プライベートIPアドレスと同じ用途のIPv6アドレスが存在しない件について
- 日本のIPv6採用状況が50%を超えている件について
- 「ピアリング戦記」の英訳版EPUBを無料配布します!
- IPv4アドレス移転の売買価格推移および移転組織ランキング100
- 例示用IPv6アドレス 3fff::/20 が新たに追加
過去記事
