新人が「会社のHP自分でも落とせる」とか抜かしてて上司が慌ててる
1: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:16:49.595 ID:kUB5YLs90.net
そいつは文系出身でプログラミングなんて全く無理
それでどうやって落とすの?
一人でF5アタックでもするつもりなんだろうか?
2: d喰 ◆Eat…..cI 2015/07/17(金) 01:17:44.298 ID:j3M471eH0.net
鯖のコンセントを
3: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:17:45.213 ID:4D7fDYss0.net
サーバーに物理アタック
4: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:17:58.110 ID:VwiT/7ga0.net
そらもう田代砲よ
知らんがSQLインジェクションとかじゃね?
5: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:18:18.932 ID:cqvWqoPZ0.net
DOS対策もしてないなら落とせる
9: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:20:43.513 ID:Q0HhIFfvd.net
6: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:18:25.054 ID:j+DsLkuU0.net
パンチで一発
7: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:19:33.574 ID:kUB5YLs90.net
外部から落とせるって言ってる
「やろうと思えばできますけど、やっても意味がないのでしません」
って言ってる
8: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:20:24.276 ID:HV6NNS6R0.net
具体的な手順聞いてやれ
11: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:21:23.261 ID:+CPsvIY70.net
htmlでダウンロード
13: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:21:57.846 ID:Sbk8Lm6jr.net
14: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:22:48.750 ID:kUB5YLs90.net
12: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:21:33.101 ID:kUB5YLs90.net
うちは小さい会社だからDOS対策なんてしてないだろうけど
一人で田代砲かましたぐらいじゃ落ちないんじゃないの?
15: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:23:39.132 ID:HV6NNS6R0.net
小さい会社ならそれ相応のアクセスしか想定してないだろうし対策無しだと下手したら落ちるんじゃね
16: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:23:54.605 ID:c1FtugFW0.net
今フリーのソフトでパスワードとかIDとか簡単に割り出せるのあるし
ちょっと知識ある人なら30分くらいあればサーバーに不正アクセス出来たりするよ
23: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:26:28.875 ID:kUB5YLs90.net
>>16 マジで?!
もしかして情弱だったのは俺のほう?
17: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:24:22.570 ID:wXb5k7Bfa.net
大っぴらには言えないが俺が今いるプロジェクトのシステムがたった一人のF5アタックで落ちたことがある
18: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:25:03.164 ID:kUB5YLs90.net
もっと言ってたのが
パスワード入力すると社員専用のページも見れるんだが
そこも外部から入れるとか言ってる
それは流石に素人じゃ無理だろ
25: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:27:46.891 ID:CMX4ukQb0.net
>>18 それ専用ページのURL入れてダイレクトにアクセスしたらパス無しでも入れたりしないか?
マジでこんなレベルのとこあるからな
30: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:30:54.642 ID:Nzn7ZcqcM.net
>>25 ログイン入れてるなら下層からのアクセスは弾いてるはずだから直で叩いてもいけない
パス割られたらIP制限してなきゃ入られる
32: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:31:57.045 ID:cqvWqoPZ0.net
>>30 普通の会社なら社内からしか入れないんじゃないかな?
34: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:32:28.580 ID:ZFkKB3JDE.net
>>30 後輩が作ったHPは名ばかりのログインであった…
アドレス直接で管理者ページ見れましたお
40: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:37:12.269 ID:kUB5YLs90.net
>>30 つまりパスワードがバレなきゃ大丈夫ってことだよな?
31: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:31:28.377 ID:Q0HhIFfvd.net
>>18 できるけど、
アクセス元を残すような失敗もあるかもね
40: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:37:12.269 ID:kUB5YLs90.net
>>31 アクセス元が残っててもこっちからそのアクセス元を突き止められない
そんな技術だれも持ってない
19: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:25:03.834 ID:eHSdHxbV0.net
日本企業って意外とネットセキュリティが笊で情報漏洩してるからな
ほんとに落としたら威力業務妨害に当たるだろうが
20: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:25:19.777 ID:CMX4ukQb0.net
対策してない弱小サーバーを過負荷で落とすのに専門知識なんかいらんやろ
21: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:25:22.311 ID:VwiT/7ga0.net
Ophcrackだっけ
あれで管理権限乗っ取ればいけるんじゃね?可能性は限りなく低いだろうけど
29: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:29:56.945 ID:kUB5YLs90.net
>>21 そんなことプログラミング知らない素人にできるの?!
36: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:32:32.225 ID:VwiT/7ga0.net
>>29 Ophcrackだかは別にBIOSで設定して起動すれば総当たり解析し始めるよ
38: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:35:29.457 ID:cqvWqoPZ0.net
>>36 総当りがどれだけ時間かかるか分かってないな
41: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:38:53.297 ID:VwiT/7ga0.net
>>38 いや知ってるからこそ非現実的だと思うし可能性は限りなく低いって書いたんだけど
ただIDとパスワード必要でもSQLインジェクションへの脆弱性なんて大企業のサイトでさえ報告されてるくらいだし
中小企業でホームページ自作なら可能性はあるんじゃね?
まぁ業者にホームページの作成を委託したならまずあり得ないと思うが
48: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:43:33.321 ID:kUB5YLs90.net
>>41 sqlインジェクションってのが何かしらないからビビったけど
要は総当たりってこと?
それなら確率低そうだしいいんじゃね?
54: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:46:53.021 ID:VwiT/7ga0.net
>>48 SQLインジェクションってのは端的に言えば不正な文章を入力フォームとかで構文による命令として誤認識させることで不正アクセスする方法みたいなもん
詳しくはもう忘れた
つまりSQLインジェクションに対して致命的な脆弱性があれば社員専用サイトにも侵入できるしサイトの改ざんまで可能
63: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:54:31.694 ID:kUB5YLs90.net
>>54 単なる総当たりじゃないのか
それはちょっとヤバいかも
それは素人でもできるの?
64: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:55:48.240 ID:VwiT/7ga0.net
>>63 そもそも総当たりじゃない
鍵穴の形合わないからマスターキー使うようなもん
できるんじゃね?構文さえ覚えとけば
65: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:57:24.943 ID:cqvWqoPZ0.net
72: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:01:37.107 ID:kUB5YLs90.net
>>65 wikiの野郎余計なマネを
もう絶対募金してやらん
66: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:57:25.194 ID:NJ9rgXoQ0.net
>>63 Webサイトに入力欄があって対策がされてなければ可能
だけどされてたら天才ハッカーでも無理
知識がなくても偶然でスキのないサイトができてることも多いから割と安心して大丈夫だと
それに結構専門知識が必要
72: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:01:37.107 ID:kUB5YLs90.net
>>66 うちの会社はおそらく対策してないだろうな
22: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:26:09.339 ID:cqvWqoPZ0.net
100窓で田代すりゃ落ちるさ
24: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:27:32.655 ID:nsB4Wc3/0.net
雇い続けると危なさそうだから首にしようぜ
33: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:32:19.786 ID:kUB5YLs90.net
>>24 うん
とりあえずそいつは林檎厨で情強アピールしてるのがうざい
26: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:27:58.450 ID:7styCaO7a.net
33: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:32:19.786 ID:kUB5YLs90.net
>>26 上司にそんなことは無理ですから安心して下さいって言っちゃったよ俺
35: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:32:31.586 ID:nsB4Wc3/0.net
できたから何?って言えないの?
42: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:39:40.189 ID:kUB5YLs90.net
>>35 言えるか!
素人の林檎厨でも侵入できるHPぐらいプロの手にかかればあっという間にエロサイトに変えられるってことだろ
会社としては大問題だよ!
49: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:44:02.935 ID:VwiT/7ga0.net
>>42 そんなもん訴えれば良いよ
そんな中小企業狙うような奴なんていないだろ
クラッキングは犯罪なんだしやったら通報して裁判に持ち込めばよくね?
37: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:34:36.197 ID:a6FJE3CQ0.net
セキュリティ云々よりそんな発言を堂々とするヤツを採用した会社のがヤバイ
48: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:43:33.321 ID:kUB5YLs90.net
39: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:36:17.238 ID:k+eCjazD0.net
ギャルゲーの話だろ
落とし神
45: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:41:32.867 ID:DXUpxTrx0.net
最弱サーバなら一人のF5ですら落とせるよ
俺の自鯖とかショボ過ぎて落ちまくるからイライラする
57: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:49:28.580 ID:kUB5YLs90.net
>>45 サーバーはどこかは詳しくしらんけど外部に金払ってるはずだから
そんなに弱くはないはず
47: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:43:15.254 ID:c1FtugFW0.net
明日あたり上司のPCにウィルスメールくるわ
60: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:52:00.283 ID:kUB5YLs90.net
>>47 それはやばい
上司開けてしまうかもwww
51: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:45:37.212 ID:niodZODU0.net
カス会社のホームページ落としても暇つぶしにしかならないけどな
60: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:52:00.283 ID:kUB5YLs90.net
>>51 まあ、そうなんだけどね
別に社員専用ページもそんなにたいした情報も載せてないから
最悪バレてもなんとかなるんだけどね
53: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:46:04.665 ID:m0wt1VneM.net
DDoS攻撃が8ドルで誰でも買える時代だからなあ
技術や知識のあるなしは関係ない
63: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:54:31.694 ID:kUB5YLs90.net
>>53 そんな犯罪みたいな商売が行われてるのか!
56: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:48:56.502 ID:l4wOywAZ0.net
新人に業務としてレポート出させれば
具体的な手段や発生しうる問題が判れば対応も考えられるし
58: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:49:38.143 ID:iQbpjqj30.net
そんなちっちぇー会社のHPなんて誰も落とさないから安心しろ
59: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:49:44.383 ID:NJ9rgXoQ0.net
DNSリフレクションでもやるんじゃね?
67: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:57:48.941 ID:kUB5YLs90.net
79: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:07:03.273 ID:NJ9rgXoQ0.net
>>67 DNSリフレクションってのは、まあDDOSの一種だ
インターネットにはDNSサーバって言って、IPアドレスとホスト名を一致させるサーバーがいっぱいある
たとえで言うと、「出席番号〇〇番って誰?」って聞くと律儀にフルネームで応えてくれる人だな
この返信はフルネームだからデータ量が何倍にもなってる
ここで、変成器を使って別人の声でこいつに話しかけてみる。
たとえば毛利小五郎の声でDNSサーバくんに「出席番号○○番って誰?」っていうと、本物の毛利君のところにフルネームを言いに行く
これをたくさんのDNSサーバーで、何度も行った場合、ターゲットのところに大量のデータが送りつけられることになる。
これの怖いところは、対策はDNSサーバーにしかできない(ターゲットにされた側は打つ手がない)ってこと
まあ変声器みたいに発信源を偽装する技術が必要だからプログラミングの知識がないと難しいかもな
82: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:09:40.506 ID:m0wt1VneM.net
89: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:15:14.861 ID:kUB5YLs90.net
>>79 なんとなくわかった
とりあえず最後の一文で新人にはできないことはよくわかった
90: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:17:53.355 ID:+zxv+8Y80.net
>>89 できるできないじゃなくて
やった場合痕跡から犯人追えるようにするのが大事なんだよ
社内のアカウントの管理システム発注すんだな
95: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:21:25.194 ID:kUB5YLs90.net
>>90 そんな高そうなシステム中小じゃとても無理だよ
そんなのに金払うぐらいならドロップボックスとかで情報共有するよ
61: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:53:40.517 ID:F4fiDLT20.net
可能性の問題でいえばインターネットにつながっているPCがローカルエリア接続しているならログインできるな
外部に金払っているならDDOSは防いでくれるんじゃないかな?
XSSやSQLインジェクションは会社の責任だから知らん
67: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:57:48.941 ID:kUB5YLs90.net
>>61 SQLインジェクションは会社で対策できるの?
62: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 01:54:01.644 ID:cqvWqoPZ0.net
まともな知識の無い奴でも出来るって言ったらDOSくらいじゃないのかなー
72: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:01:37.107 ID:kUB5YLs90.net
74: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:03:37.204 ID:0h0OOa730.net
昔のcgi掲示版で閉じタグ抜いてタグうってぶっ壊したりしたろ
それのsql版がsqlインジェクション
81: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:09:32.377 ID:kUB5YLs90.net
78: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:06:10.567 ID:F4fiDLT20.net
「ユーザー名」「パスワード」から顧客のなんかの情報を会社内から検索するときに
後ろに「全部よこせ」って付け加えると会社の情報全部見れるって面白いことが起きる
85: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:11:21.860 ID:kUB5YLs90.net
>>78 マジですか?
それじゃうちの会社もしかすると
ものすごくオープンな会社かも知れないってことですか?
97: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:22:13.451 ID:IxKStIqn0.net
文系だから無理ってのが意味わからん
107: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:29:34.319 ID:kUB5YLs90.net
>>97 すいません
文系への偏見です
俺も理系だけどプログラミングなんてできません
ちょっとエクセルのVBAができる程度です
それでも社内ではエクセル神として崇められてます
111: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:33:21.883 ID:NJ9rgXoQ0.net
>>107 プログラミングなんて勉強すれば一週間でできるようになる
ネットワークとかセキュリティとかは別の話だけど
102: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:26:57.123 ID:bBCq0z+70.net
それでも外部に委託してるならそこの会社はセキュリティキッチリしてるはずだし、並みのプログラマーでも無理
そもそもクラックっていうのは足をつかずにするにはそれこそプログラムとネットワークのスペシャリストでないとできない
108: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:29:52.580 ID:NJ9rgXoQ0.net
>>102 Tor使えばログから辿らないようにはできるとおもう
気付かないうちに情報が抜かれてた!的なのは仰る通り無理だけどな
117: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:37:31.330 ID:NJ9rgXoQ0.net
業者に委託してるっていうサイトのソース読んでみたら
セキュリティの知識がかなり薄そうだった
業者だからって信用しない方がいいと思う
まあクラックできる隙は全くなかったけど
121: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:43:45.459 ID:kUB5YLs90.net
>>117 うん
こちらとしては知識が全くないから
おそらくそのサーバー業者に任せっぱなし
124: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:50:16.717 ID:3UI0sUrP0.net
password “0” or ‘A’=’A’
ってフォームに打ち込めばパスワード部分はTRUEになる
これがSQLインジェクション
129: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:57:57.490 ID:kUB5YLs90.net
>>124 パスワードの代わりに0とか入れればいいってこと?
125: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:51:06.592 ID:zp/MVCIQ0.net
若かりし頃に全く同じ事言って「じゃあやってみろ」って言われたから一日会社休んでroot奪ってやったことがある
129: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:57:57.490 ID:kUB5YLs90.net
>>125 rootって何?
泥のroot化と何か関係あるの?
130: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 02:59:23.048 ID:NJ9rgXoQ0.net
>>129 rootってのはざっくりいうとサーバーの一番偉い権限
136: 以下、\(^o^)/でVIPがお送りします 2015/07/17(金) 03:21:38.584 ID:+sW3quDN0.net
落とすだけだと攻撃者には得がない場合が多いんだよな
落とした隙に乗っ取って攻撃の起点にしたり情報を盗んで初めて攻撃者が喜ぶ
悪意のないやつが遊び半分でDoS攻撃しても致命傷にはなりにくい
(転載元:http://viper.2ch.sc/test/read.cgi/news4vip/1437063409/)
「新人が「会社のHP自分でも落とせる」とか抜かしてて上司が慌ててる」
最近の「~した結果www」みたいなスレタイってすでにスレタイの内容だけで完結してるよね