Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。

【sorry-city-library】昨夜公開された海老名市立図書館のサイトがXSS等の不備により大喜利会場と化す。現在はSORRY中→復旧?!

今後の展開も面白そうなのでまとめました。
90
リンク 海老名市立図書館 海老名市立図書館 海老名市立中央図書館では、従来の図書貸出はもちろんのこと、蔦屋書店の併設により、本や物販商品の購入が可能です。また、館内にはスターバックス コーヒーも併設され、コーヒーを飲みながら本を読むこともできます。
Sho Doi @show_web

海老名市立図書館では『国会便覧』(廣済堂出版)のジャンルは「料理/お酒/お酒/ビール」らしい。 ebina.city-library.jp/library/switch… archive.is/UOpdZ

2015-10-01 00:36:18
りょたろ(O23) @RyoutaK

???「詳しくは下記の図をご覧ください。」 (図が読み取れるとは言っていない) よくある質問 | 海老名市立図書館 ebina.city-library.jp/library/ja/faq…

2015-10-01 01:27:35
某氏(老犬の執事業はお役御免となりました) @hatunknown

海老名市立図書館、アクセス・マップページに、ストリートビューが「Comming soon」 状態で準備されている。という事は館内ビューもやるのでしょうね。

2015-10-01 01:06:19
hozukitomato @hozukitomato

海老名市立図書館の著作権表記がアダルトサイトのようである。 Copyright © 2015 xxx All rights reserved. ebina-sp.city-library.jp/library/

2015-10-01 00:48:22
@__wai (わぃ わぃ)FT.つばき @__wai

海老名の図書館さん、いまどきこのエラーの出し方は無しですよ。 (URL欄注目) pic.twitter.com/N8qGgHiMRr

2015-10-01 01:27:56
拡大
🌱🌸🌹🌻こくとう🌷🌼🌸🌱 @Jean_Coc_Teau

海老名市立図書館のログインページ(ebina.city-library.jp/library/ja/my_… …)でIDの代わりに「test"><script>alert(document.cookie);</script>」を入力してみたときの画像になります pic.twitter.com/7B6nkiIzcF

2015-10-01 02:35:29
拡大
拡大
みふゆ @rrnnu

海老名市立図書館のログインページがみんなのおもちゃになってて草生える

2015-10-01 02:49:25
さたけ❎ 𝕤𝕒𝕥𝕒𝕜𝕖_𝕥𝕒𝕜𝕖 @satake_take

お前らが遊びすぎるから海老名市立図書館のページ止まった pic.twitter.com/gmY4hKrJ0m

2015-10-01 02:35:12
拡大
むいむい @muimui15

海老名市立図書館ハッキングしてあげてる人達エラい

2015-10-01 02:59:26
しめじ @ctake_shimez

海老名市立図書館のWebサイト、リンク集のリンク先ボロボロなんだが。非公開設定のアカウントとか、URL違いとか。 ebina.city-library.jp/library/linkli…

2015-10-01 15:06:17

コメント

ギガ男爵(中年男性㌠ @exbaron 2015年10月1日
スクショは撮ったけど魚拓にもしておくべきだった。不覚。 https://twitter.com/exbaron/status/649346812466167808
0
全部のせ大満開たかぴー @loveeearth 2015年10月1日
Sorryサイトすらデバッグ対象あるとかないよな(
0
꧁🐶꧂ @shigeo_t 2015年10月1日
このレベルのXSSがあるなら、CSRFもトラバーサル系もインジェクション系もあるかも。みんなのペネトレーション練習サイトだ。
14
SAKURA87@多摩丁督 @Sakura87_net 2015年10月1日
この人達が不正アクセス禁止法で逮捕されないか心配…。
9
うまみもんざ @umamimonza 2015年10月1日
脆弱ってレベルじゃねーぞ!
6
MarriageTheorem @MarriageTheorem 2015年10月1日
アクセス制限の不当な回避(パスワードクラック等)ではないので少なくとも不正アクセス禁止法は大丈夫なのでは。他、他者を騙して細工URL踏ませる(多分マルウェア系の法律が関係する)、SQLインジェクション等でデータ破壊する、度を越した業務妨害、ではないときに関連する法律って何があっただろう。法律の専門家の見解が知りたい。
12
🌱🌸🌹🌻こくとう🌷🌼🌸🌱 @Jean_Coc_Teau 2015年10月1日
不正アクセス禁止法には抵触するのはどちらかというと、これらのバグを利用して本来制限されている情報にアクセスがしたり、他人のパスワードなどを盗みとったり、盗んだパスワードでログインしたようなケースですね
14
Soukaku @Soukaku 2015年10月1日
誰かIPAに通報してたっけな…。
1
sironekotoro @sironekotoro 2015年10月1日
そーいや、本家TSUTAYAでも障害起こしてたなー ■TSUTAYA DISCAS のメンテが延滞に延滞を重ねて3泊目突入 - Togetterまとめ http://togetter.com/li/866197
3
佐倉和音🥴 @O_Flow 2015年10月1日
CCCが絡むとろくなことにならない。まさしくインガオホーでありスゴイ級のハッカーにはチャメシインシデントの善良な遊びなのだ。
4
太郎 @thinktaro 2015年10月1日
被害出る前に気づいて良かったね
1
のーそふとばんく(ソフトバンクアンチ猫) @no_softbank 2015年10月1日
リニューアル開館した時点でもう被害が出てるんだよ
1
まさらっき @masarakki 2015年10月1日
いまどきこんなの頭大丈夫なのかな
0
イエーガー@狩猟準備中 @Jaeger75 2015年10月1日
とりあえず、誰かHP作成に詳しくない俺に簡単に顛末を説明してくれないか? 未完成なHPが誰にでも編集出来る状態で公開されてたって事??
0
ダムゼミ山 @darude_yama 2015年10月1日
Jaeger75 すごい簡単に言うと フォームから打ち込まれたコード(SQLとかjavascriptとかhtmlのタグとか)がそのとおりに実行されてしまう状態 でしょうか
0
イエーガー@狩猟準備中 @Jaeger75 2015年10月1日
ああ、なるほど。ひとむかし前にあった「HTMLタグがそのまま生きてる状態」って事ですか。それはあかんわww(ブラクラ仕込まれちゃうよ~、今だとその程度じゃ済まないか?)
0
Hoehoe @baisetusai 2015年10月1日
一応聞くけど、これ直接はCCCのせいではないですよね?
1
とどたん(todotantan) @todotantan 2015年10月1日
baisetusai city-library.jpのドメインはCCCのものです。普通に考えて直接的にCCCの責任では?
16
Hoehoe @baisetusai 2015年10月1日
todotantan うーむ、それはもっともなのですが、CCCが特に指示してこうなったというわけではない、と言いたかったのですけど、それも違うかもしれませんねえ
1
とどたん(todotantan) @todotantan 2015年10月1日
baisetusai 開発会社にちゃんと要求仕様を掛けないようじゃ、やっぱりCCCの責任じゃないですかね?
20
イエーガー@狩猟準備中 @Jaeger75 2015年10月1日
どこにどんな形で外注しようが最終的な管理責任はCCCだね、常識的に考えて。
11
Hoehoe @baisetusai 2015年10月1日
todotantan はい。責任がゼロではないですね。CCCと担当者と、どっちの責任が重いのかは、今後わかると思います
1
とどたん(todotantan) @todotantan 2015年10月1日
baisetusai 海老名市との指定管理契約の中の業務でしょうから(要確認)、やはりCCCが責任を取るべきですよね。 下請けに責任がない訳ではないですが、表に出る必要はないですね。
11
Hoehoe @baisetusai 2015年10月1日
責任を取らされるのか取るのか、形はわからないですけどCCCが引責すべきですね
4
mao_ivory @mao_ivory 2015年10月1日
ボランティアでデバッグしてあげるなんて、皆様、お優しい_________
6
大石陽@聖マルク @stmark_309 2015年10月1日
Wordpressあたり使って素人が作ったほうが、下手にいじれない分セキュリティ的に堅牢なんじゃ……。
1
佐倉和音🥴 @O_Flow 2015年10月1日
下手にいじれないからセキュリティと要件は釣り合わないのかなぁ。下手にいじれない=セキュリティが堅牢とは言い難い。
1
としきん @toshikin3 2015年10月1日
こんなんでTカード管理大丈夫なのか
3
大石陽@聖マルク @stmark_309 2015年10月1日
O_Flow 少なくとも素のWordpressおよび一般的なプラグインの堅牢性は確保されるぞ。こんな新入社員が研修で作ったようなセキュリティじゃなく。
1
書肆ふろすてぃ㌠(JN4IFD/ことうらKO63) @Cub_of_Kotoura 2015年10月1日
toshikin3 大丈夫なわけがない (ぁ、バイク垢で書いちまった)
0
shouwata @shouwata 2015年10月1日
CCCのビッグデータ分析は大丈夫?
0
ジャカルタ読み専ブラザーズ @_oinarisan_ 2015年10月1日
GETパラメータをそのままエラーメッセージ部分に埋め込むというひどい設計だったものの、一応タグを取り除くくらいの処理はしてました が、そもそもそんな設計にしちゃうひどいセンスの持ち主が作ったサイトなんで、きっと後から後からなんぼでもヤバいのがでてきそう
7
しゅがい%しゅがP @shugai 2015年10月2日
FB良品XSS騒動を思い出すねえ
1
藤間真 @power_of_math 2015年10月2日
岡崎Librahack事件を思い出した。
1
JAMSAND.exe💊 @JAMSAND_jp 2015年10月2日
だれだ、本物ピラミッドで遊んだのは!wwww
0
Narniancat @narniancat 2015年10月3日
サイト構築費をケチりすぎたのかな。
0
🌱🌸🌹🌻こくとう🌷🌼🌸🌱 @Jean_Coc_Teau 2015年10月4日
ここに出てる範囲で不具合は修正されたんだけど「message=検索条件に一致する資料がありませんでした。<br>条件を変えて再検索してください。&link_url=back&link_text=再検索する」に完全一致するURLかどうかをチェックするって修正になったっぽい(手っ取り早い修正法として否定はしないけど)
1
undo(あんどー) @tolucky774 2015年10月5日
ベータどころかアルファで出しちゃった感すごい
1