【驚愕】新人が「会社のHP自分でも落とせる」とか抜かしてて上司が慌ててる

2015年7月25日 08:00

新人が「会社のHP自分でも落とせる」とか抜かしてて上司が慌ててる

このウェブページにアクセスできません02
1: 名無しのお客さま
そいつは文系出身でプログラミングなんて全く無理
それでどうやって落とすの?
一人でF5アタックでもするつもりなんだろうか?

2: 名無しのお客さま
鯖のコンセントを

3: 名無しのお客さま
サーバーに物理アタック

6: 名無しのお客さま
パンチで一発

7: 名無しのお客さま
外部から落とせるって言ってる
「やろうと思えばできますけど、やっても意味がないのでしません」
って言ってる

8: 名無しのお客さま
具体的な手順聞いてやれ

9: 名無しのお客さま
>>5
これ

4: 名無しのお客さま
そらもう田代砲よ

知らんがSQLインジェクションとかじゃね?

12: 名無しのお客さま
うちは小さい会社だからDOS対策なんてしてないだろうけど
一人で田代砲かましたぐらいじゃ落ちないんじゃないの?

11: 名無しのお客さま
htmlでダウンロード

13: 名無しのお客さま
>>11
これかと思った

14: 名無しのお客さま
>>11
そういう意味の落とすじゃねーよ!

16: 名無しのお客さま
今フリーのソフトでパスワードとかIDとか簡単に割り出せるのあるし
ちょっと知識ある人なら30分くらいあればサーバーに不正アクセス出来たりするよ

23: 名無しのお客さま
>>16
マジで?!
もしかして情弱だったのは俺のほう?

17: 名無しのお客さま
大っぴらには言えないが俺が今いるプロジェクトのシステムがたった一人のF5アタックで落ちたことがある

18: 名無しのお客さま
もっと言ってたのが
パスワード入力すると社員専用のページも見れるんだが
そこも外部から入れるとか言ってる
それは流石に素人じゃ無理だろ

20: 名無しのお客さま
対策してない弱小サーバーを過負荷で落とすのに専門知識なんかいらんやろ

21: 名無しのお客さま
Ophcrackだっけ
あれで管理権限乗っ取ればいけるんじゃね?可能性は限りなく低いだろうけど

29: 名無しのお客さま
>>21
そんなことプログラミング知らない素人にできるの?!

24: 名無しのお客さま
雇い続けると危なさそうだから首にしようぜ

25: 名無しのお客さま
>>18
それ専用ページのURL入れてダイレクトにアクセスしたらパス無しでも入れたりしないか?
マジでこんなレベルのとこあるからな

26: 名無しのお客さま
なんか>>1びびってる?

33: 名無しのお客さま
>>24
うん
とりあえずそいつは林檎厨で情強アピールしてるのがうざい
>>26
上司にそんなことは無理ですから安心して下さいって言っちゃったよ俺

30: 名無しのお客さま
>>25
ログイン入れてるなら下層からのアクセスは弾いてるはずだから直で叩いてもいけない

パス割られたらIP制限してなきゃ入られる

31: 名無しのお客さま
>>18
できるけど、
アクセス元を残すような失敗もあるかもね

40: 名無しのお客さま
>>30
つまりパスワードがバレなきゃ大丈夫ってことだよな?
>>31
アクセス元が残っててもこっちからそのアクセス元を突き止められない
そんな技術だれも持ってない

35: 名無しのお客さま
できたから何?って言えないの?

42: 名無しのお客さま
>>35
言えるか!
素人の林檎厨でも侵入できるHPぐらいプロの手にかかればあっという間にエッロサイトに変えられるってことだろ
会社としては大問題だよ!

36: 名無しのお客さま
>>29
Ophcrackだかは別にBIOSで設定して起動すれば総当たり解析し始めるよ

37: 名無しのお客さま
セキュリティ云々よりそんな発言を堂々とするヤツを採用した会社のがヤバイ

38: 名無しのお客さま
>>36
総当りがどれだけ時間かかるか分かってないな

41: 名無しのお客さま
>>38
いや知ってるからこそ非現実的だと思うし可能性は限りなく低いって書いたんだけど

ただIDとパスワード必要でもSQLインジェクションへの脆弱性なんて大企業のサイトでさえ報告されてるくらいだし
中小企業でホームページ自作なら可能性はあるんじゃね?

まぁ業者にホームページの作成を委託したならまずあり得ないと思うが

57: 名無しのお客さま
>>45
サーバーはどこかは詳しくしらんけど外部に金払ってるはずだから
そんなに弱くはないはず

48: 名無しのお客さま
>>37
田舎の中小なんてそんなもん
>>41
sqlインジェクションってのが何かしらないからビビったけど
要は総当たりってこと?
それなら確率低そうだしいいんじゃね?

47: 名無しのお客さま
明日あたり上司のPCにウィルスメールくるわ

51: 名無しのお客さま
カス会社のホームページ落としても暇つぶしにしかならないけどな

60: 名無しのお客さま
>>47
それはやばい
上司開けてしまうかもwww
>>51
まあ、そうなんだけどね
別に社員専用ページもそんなにたいした情報も載せてないから
最悪バレてもなんとかなるんだけどね

53: 名無しのお客さま
DDoS攻撃が8ドルで誰でも買える時代だからなあ
技術や知識のあるなしは関係ない

54: 名無しのお客さま
>>48
SQLインジェクションってのは端的に言えば不正な文章を入力フォームとかで構文による命令として誤認識させることで不正アクセスする方法みたいなもん
詳しくはもう忘れた

つまりSQLインジェクションに対して致命的な脆弱性があれば社員専用サイトにも侵入できるしサイトの改ざんまで可能

63: 名無しのお客さま
>>53
そんな犯罪みたいな商売が行われてるのか!
>>54
単なる総当たりじゃないのか
それはちょっとヤバいかも
それは素人でもできるの?

55: 名無しのお客さま
まあ、何かあったら訴えればいいんだけど
そういう問題じゃなくね?
訴える手間とかあるんだから
問題を起こさないようにするのが最優先だろ

59: 名無しのお客さま
DNSリフレクションでもやるんじゃね?

61: 名無しのお客さま
可能性の問題でいえばインターネットにつながっているPCがローカルエリア接続しているならログインできるな
外部に金払っているならDDOSは防いでくれるんじゃないかな?
XSSやSQLインジェクションは会社の責任だから知らん

67: 名無しのお客さま
>>59
なんすかそれ?
>>61
SQLインジェクションは会社で対策できるの?

62: 名無しのお客さま
まともな知識の無い奴でも出来るって言ったらDOSくらいじゃないのかなー

65: 名無しのお客さま
>>64
Wikipediaに構文がある絶望感

66: 名無しのお客さま
>>63
Webサイトに入力欄があって対策がされてなければ可能
だけどされてたら天才ハッカーでも無理
知識がなくても偶然でスキのないサイトができてることも多いから割と安心して大丈夫だと

それに結構専門知識が必要

72: 名無しのお客さま
>>62
俺も田代砲が精一杯だと信じたい
>>65
wikiの野郎余計なマネを
もう絶対募金してやらん
>>66
うちの会社はおそらく対策してないだろうな

70: 名無しのお客さま
ちょっと会社のURL晒してごらんよ

73: 名無しのお客さま
>>70
それは無理
お前らなら30分で乗っ取りそうで怖い

74: 名無しのお客さま
昔のcgi掲示版で閉じタグ抜いてタグうってぶっ壊したりしたろ
それのsql版がsqlインジェクション

76: 名無しのお客さま
>>73
そしたら新人君の言ってることは正しいと検証できるじゃないですか?

77: 名無しのお客さま
ここですら定期的に負荷で落とされてるだろ
そういうことだ

81: 名無しのお客さま
>>74
すまんよくわからん
>>76
そんな検証のために会社のHP潰されてたまるか!
>>77
それは何千人も同時にバルスとか書き込むからだろ

79: 名無しのお客さま
>>67
DNSリフレクションってのは、まあDDOSの一種だ
インターネットにはDNSサーバって言って、IPアドレスとホスト名を一致させるサーバーがいっぱいある
たとえで言うと、「出席番号〇〇番って誰?」って聞くと律儀にフルネームで応えてくれる人だな
この返信はフルネームだからデータ量が何倍にもなってる

ここで、変成器を使って別人の声でこいつに話しかけてみる。
たとえば毛利小五郎の声でDNSサーバくんに「出席番号○○番って誰?」っていうと、本物の毛利君のところにフルネームを言いに行く
これをたくさんのDNSサーバーで、何度も行った場合、ターゲットのところに大量のデータが送りつけられることになる。

これの怖いところは、対策はDNSサーバーにしかできない(ターゲットにされた側は打つ手がない)ってこと
まあ変声器みたいに発信源を偽装する技術が必要だからプログラミングの知識がないと難しいかもな

83: 名無しのお客さま
>>71でいいじゃん

89: 名無しのお客さま
>>79
なんとなくわかった
とりあえず最後の一文で新人にはできないことはよくわかった
>>83
まあそうだな

78: 名無しのお客さま
「ユーザー名」「パスワード」から顧客のなんかの情報を会社内から検索するときに
後ろに「全部よこせ」って付け加えると会社の情報全部見れるって面白いことが起きる

85: 名無しのお客さま
>>78
マジですか?
それじゃうちの会社もしかすると
ものすごくオープンな会社かも知れないってことですか?

84: 名無しのお客さま
間違いなく外回りには使えないタイプだな

86: 名無しのお客さま
新人の戯言で慌てちゃう上司かわいい
付き合いたい

87: 名無しのお客さま
>>81
自分のとこのサーバの規模がここの千分の一もあると思ってるの?

92: 名無しのお客さま
>>84
確かに俺の営業スタイルとは違う
そいつは自分の考えを言うだけだからこの先心配
>>86
ハゲでもいいですか?
>>87
ないです
すいません

90: 名無しのお客さま
>>89
できるできないじゃなくて
やった場合痕跡から犯人追えるようにするのが大事なんだよ
社内のアカウントの管理システム発注すんだな

95: 名無しのお客さま
>>90
そんな高そうなシステム中小じゃとても無理だよ
そんなのに金払うぐらいならドロップボックスとかで情報共有するよ

91: 名無しのお客さま
データ引き出すんじゃなく落とすだけなら簡単じゃないの?
そんなに長時間じゃなきゃ1万も払えばかなり高負荷のDDOS攻撃を代行してくれる業者がある

94: 名無しのお客さま
俺1レスも貰ってないから全レスじゃないよ

99: 名無しのお客さま
>>91
そんな悪魔のような商いをしてる輩もいるのか
さっさと取り締まればいいのに
>>94
ごめんよレスつけなくて

96: 名無しのお客さま
田代砲には劣るけどping攻撃ってのが一番お手軽なDoSだな
ネットワークの応答速度測るコマンドを悪用する

Windowsのスタート→アクセサリ→コマンドプロンプトってのを開いて
  ping -t -l 65500 (サーバーのドメイン)
って打ち込んでEnterすると一秒に一回65500バイトのデータを送り付ける
秒間一回ってのは変えられないけど、多重起動で補う

多重起動も自動化できる
メモ帳に
start ping -t -l 65500 (サーバーのドメイン)
ってのをたくさんコピペして、拡張子を.batにして保存、
それをダブルクリックでコピペした数だけ自動起動する

103: 名無しのお客さま
>>96
それぐらいなら俺でも出来そうだ!
やばいな
でも俺の8年前のクソスペパソコンじゃサーバー落とす前に自分のパソコンが落ちる

97: 名無しのお客さま
文系だから無理ってのが意味わからん

107: 名無しのお客さま
>>97
すいません
文系への偏見です
俺も理系だけどプログラミングなんてできません
ちょっとエクセルのVBAができる程度です
それでも社内ではエクセル神として崇められてます

101: 名無しのお客さま
探偵にだけは関わるな。
対象を尾行はしたらしいが依頼者が真偽を確認できない事柄は嘘ついて労力削りやがった。
捏造で報告水増し料金も水増し。
挙げ句わざと依頼ばらされた。

102: 名無しのお客さま
それでも外部に委託してるならそこの会社はセキュリティキッチリしてるはずだし、並みのプログラマーでも無理
そもそもクラックっていうのは足をつかずにするにはそれこそプログラムとネットワークのスペシャリストでないとできない

109: 名無しのお客さま
>>101
今は探偵は関係ない
毛利小五郎は少し出たけどあれはあくまで例えの話でありまして
>>102
ですよね
そんなすごい人たちが片田舎の中小狙わないよね?

111: 名無しのお客さま
>>107
プログラミングなんて勉強すれば一週間でできるようになる
ネットワークとかセキュリティとかは別の話だけど

113: 名無しのお客さま
この>>1臭すぎ
いいからタヒねや

114: 名無しのお客さま
ヒューレットパッカードに転職するって意味じゃね?

120: 名無しのお客さま
>>111
マジで!?
俺もプログラミング勉強したい
教えて!
>>113
今日はまだ風呂入ってないから臭いかも
ごめんよ
>>114
ヒューレットパッカードに行ってもらってもいいんだけどねwww

117: 名無しのお客さま
業者に委託してるっていうサイトのソース読んでみたら
セキュリティの知識がかなり薄そうだった
業者だからって信用しない方がいいと思う

まあクラックできる隙は全くなかったけど

118: 名無しのお客さま
基本情報技術者の勉強スレ

121: 名無しのお客さま
>>117
うん
こちらとしては知識が全くないから
おそらくそのサーバー業者に任せっぱなし
>>118
ホントそうなってるよな
ぶっちゃけ俺途中からついていけてないしwww

123: 名無しのお客さま
>>120
基礎的なことは本買うか解説サイト見るかすればわかるはず
独習シリーズとかあるけど、大体数千円するからサイトのがおすすめ

でも文法がわかっても単語がわからないと会話できないように、
また、会話の内容によって必要な単語が違うように、こっから先の知識は目的によってかなり変わる
ハッキングしたいのかゲーム作りたいのか、それとも幼女AIを作って遊びたいのか
そういう知識はGoogleとにらめっこしながら得るんだね

取り合えずVisual Studioをインストールしてhttp://ufcpp.net/study/csharp/を上から順番に読んでいけばいいんじゃないかな?

127: 名無しのお客さま
>>123
学生のとき独習C買って少しやったけど諦めた
今のVBAは実際に使えそうなのをその都度探してるから続いてる
俺は実用的なの作れないと続かないからな

124: 名無しのお客さま
password “0” or ‘A’=’A’
ってフォームに打ち込めばパスワード部分はTRUEになる
これがSQLインジェクション

125: 名無しのお客さま
若かりし頃に全く同じ事言って「じゃあやってみろ」って言われたから一日会社休んでroot奪ってやったことがある

129: 名無しのお客さま
>>124
パスワードの代わりに0とか入れればいいってこと?
>>125
rootって何?
泥のroot化と何か関係あるの?

126: 名無しのお客さま
>>123追記
このサイトはC#っていうプログラミング言語のことしか書いてないから、他の言語を扱いたいならググッて
C#は扱うのが比較的簡単な代わりに、あんまりシステムの深いところをいじれない
根本からいじれる言語(C++とか)は言い換えると根本からぶっ壊す危険もあるってことでどっちをとるかは>>1次第
あと、もっと安全に扱いやすく、便利なものを作りたいならJavaScriptとかPHPとかやってみるといいかも
Webサイト上で動かすことに特化してて、最近熱い

131: 名無しのお客さま
>>126
なるほどね
俺はまずは簡単なところからでいいよ
プログラミング言語は一つ知ってればあとは似たような感じだから覚えやすいって聞くし

128: 名無しのお客さま
>>127
まあ、文法だけ勉強しても何にもならんし
真っ黒い画面見つめるのも酷だよなぁ

あの内容とWikipediaの知識をうまく組み合わせるだけで最強のオセロAI作れるかもよ
って言えばやる気出る?

132: 名無しのお客さま
>>128
そうそう
そういう本を終らすことを目的としてるといやなんだよね
ホントにこんなの必要なのか?とか疑っちゃうから

でもオセロを作るとかいきなり目標が与えられてそれに必要な知識を勉強していくならできそう

133: 名無しのお客さま
>>132
二次元配列作って盤面を表現して、AIが考えるためには構造体化しておいた方がよさそうで、コマがひっくり返る判定は。。。
夢が広がるな

134: 名無しのお客さま
なんか予想外に為になるちゃんとしたスレになったな
おもしろ文系スレかと思ったが

135: 名無しのお客さま
>>133
二次元配列とかはなんとかわかるし判定も頑張ればできるかも
でも構造体ってのはわからんな
そこらへんから勉強していくか
>>134
うん俺もこんな流れになるとは思ってなかった
新人叩きのスレになるかと思ってた
それでストレス発散できればと思っていた自分が恥ずかしい

136: 名無しのお客さま
落とすだけだと攻撃者には得がない場合が多いんだよな

落とした隙に乗っ取って攻撃の起点にしたり情報を盗んで初めて攻撃者が喜ぶ

悪意のないやつが遊び半分でDoS攻撃しても致命傷にはなりにくい

    【画像】坂口杏里のAVが発売!! 乳首とケツが汚すぎると話題にwwww
1000: 殿堂入り人気記事(・∀・`)ノ !!

コメント一覧

  1. 匿名 より:

    くどいな
    gdgd抜かしてないでさっさと全バックアップしとけや

  2. 匿名 より:

    そもそもハッキング能力とプログラミング能力は直接は結びつかんわけで。
    もちろんあるに越したことはないが。

コメントする

著しく公序良俗に反するコメントはお控えください。