パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件でoffice氏逮捕」記事へのコメント

  • まとめ (スコア:3, 参考になる)

    by Anonymous Coward on 2004年02月04日 19時37分 (#488611)
    ・通常セキュリティホールに関しては、相手に直接通知して
     対応が終わった段階で公表するのが暗黙のルール
    ・今回のoffice氏の場合、ACCSに通知する前にAD200Xという
     ハッカーグループの会合でこのセキュリティホールを公表
     して、かつ実際の個人情報が載った資料も公開した
    ・その後office氏からセキュリティホールを通知されたACCSは
     当初はoffce氏を協力者として友好的に扱っていた
    ・ところがoffice氏が事前にセキュリティホールと個人情報を
     公開していたことが分かったため怒りまくってoffice氏を告訴
    ・さらに公開された個人情報は全て破棄されたとAD200X関係者
     が説明したにもかかわらず、2ちゃんねるのアップローダで
     アップロードされてACCS再激怒
    ・ついにoffice氏が逮捕

    officeがやった実際の手法
    ・ACCSの投稿フォームで投稿内容の最終確認のため投稿内容を表示するCGIを利用
    ・投稿内容を表示するCGIの引数にそのCGI自体を入れると、CGIのバグで
     CGIのソースが表示される
    ・そのソースを見て投稿内容が格納されるファイル名を確認する
    ・今度は投稿内容を表示するCGIの引数に投稿内容が格納されるファイル名を入れると、
     CGIのバグですべての投稿内容が表示される

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...