Google Code Searchの危険な使われ方

「Fun With Google Code Search」によると、 Google Code Searchを使って脆弱なソフトウェアを見つけられてしまうそうです。

実際に、Google Code Search経由で発見されてサーバを乗っ取られた事例が「How Hackers Are Using Google To Pwn Your Site」という記事で紹介されています。 ShoeMoneyが乗っ取られた事例では、恐らくWebサーバの設定ミスで.phpファイルの関連付けを行わない状態で、Google Sitemapsに登録してしまったため、Google Code Searchに自作コードが載ってしまい、それを見たクラッカーがサイトを乗っ取ったのであろうと思われます。

バッファオーバーフロー

strcpy : strcpy\((\w+,\w+) lang:c

sprintf : (sprintf\(\w+,\"%s\",\w+\)) lang:c

SQLインジェクション

ASP : (request.form|request.querystring) lang:asp

Java : (executequery) (request.getparameter) lang:java

クロスサイトスクリプティング

ASP : (response.write) (request.form) lang:asp

PHP GET : echo\s\$_GET lang:php

PHP POST : echo\s\$_POST lang:php

コメント

TODO : TODO lang:c#

FIXME : /FIXME

。。。 : "I think this code is broken"

最近のエントリ

• 「ピアリング戦記 - 日本のインターネットを繋ぐ技術者たち」を書きました！
• 1.02Tbpsの対外線！400GbE相互接続も - Interop ShowNet 2022
• Alaxala AX-3D-ViewerとAX-Sensor - Interop 2022
• SRv6を活用し、リンクローカルIPv6アドレスだけでバックボーンのルーティング - Interop ShowNet 2022
• IP中継車とMedia over IP企画 - Interop ShowNet 2022
• SFP型のSDI入出力で4K映像をShowNetにIPマルチキャスト配信 - Interop ShowNet 2022

過去記事

過去記事一覧