絵を描いたりネットいろいろ
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
pixivのこと2
昨日からの流れをメモです


2011年8月8日、夕方

pixivサーバーのいくつかにブラウザからアクセスすると
admin権限のログインフォームがでてきた
( 的確なIDとパスワードを入力すると誰でもpixiv鯖へ管理者としてログイン可能ということ )

それが2chとツイッターで拡散されて、
admin権限のログインフォーム公開しちゃってたサーバーを閉じたか、あるいはアクセスはじいたかして
ログインフォームは出なくなった


同日のPM10時ごろ、
pixivのPC版のユーザーログインのとこに、指定回数ログイン失敗すると、ログインできなくなる機能が実装
これにより、とりあえず普通のブルートフォースでは解析できなくなる
けれど、まだスマフォ用のログインフォームでは、依然ブルートフォースやれまくり
( 8月9日の午前6時までは可能なのを確認 )

そんで、たぶん8月9日の、朝~昼くらいに対応したらしく
スマフォ用のログインページには画像認証が入るようになってた
これでとりあえず、一つの脆弱性はつぶれたものと思います

ただ、セッションIDの件が2chに垂れ込みあって、
こっちは、普通にパスワード解析するよりもさらに難易度高い & 解析に時間かかっちゃうと思うけど
そっちのセキュリティホールはまだあるのかもしれない
これはおそらくクッキーを偽装して、

pixivにアクセス→正しいIDだった・・・!( どこかの誰かのアウカウントでログインできちゃう )

まちがったIDだった・・・! → クッキー作り直して再アクセス

こんな流れになると思う
けど、桁数が多いから、そのセッションIDっていうか、ハッシュ値みたいな奴に妙な規則性とかがあって
それを解析されちゃったりしない限りはありえない 完全ランダムでハッシュ値作っていれば、まずここからの侵入は不可
確率的に低すぎるし誰のIDにログインできるかもわからない

とりあえず24時間で色々、対応したみたいでよかったですね
火の海になるのは免れた

けど、これは「素人が漁れる脆弱性」がなくなっただけで
やっと普通のサイトレベルのセキュリティになれたってだけです。強固になったとかではなく今までが低すぎた
今騒ぎになってるpixivを狙ってる人はとても多いと思うので
依然あぶない状態はつづく

    0..

kakikomi
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。