客からメールが送信できないと連絡があった。
grep sasl_username /var/log/mail
とやると、test@ちょめちょめ というアカウントが破られているようだ。
即座にアカウントを非アクティブに設定。
調べると、そのサーバーには、他にも test@ちょめちょめ が多数あり、どうも前任者がテスト用に作成していたようで、加えてパスワードがザルだったようだ。
今、その前任者の組んだPHPのプログラムの機能追加を行っているが、あらゆる所にGETのパラメータをSQLのクエリーに直突っ込みしていて辟易している。
とりあえず、数値のみしか扱わないパラメータは、 is_numeric() でSQL injection を叩き落とす処理を適宜入れているが、セキュリティを全く考慮していないコードなので、書き直した方が早いんじゃね?って感じ。
以前に、パラメータをそのままページの一部に組み込んでいたので、パラメータ部にURLを入れられて、スパムメール送信フォームがページ内に出現なんて事もあった。
水の入ったコップをテーブルの角に置いておくとどうなるか? ってのはちょっと想像したら、将来起こりそうな事が予測できそうなものだが、現実には、引っ掛けて床を水浸しにしならないと分からないってのも困ったもんだねえ。
モノづくり日本ではソフト開発が未だに軽視されているので、ロクに知識もないど素人が数合わせで放り込まれる。その結果、バカの一つ覚えで hidden タグ、XSS, XSRF なにそれおいしいのみたいな自称エンジニアが量産され、それをコピペで拡大再生産してますますレベルが下がるという悪循環ですな~。
http://www.ipa.go.jp/security/vuln/vuln_contents/index.html
独立系ソフトハウスに居た者としては、「昨日まで情報処理専門学校に居ました〜」ってな経験の浅い人材が、1人月60万円のプロフェッショナルとして、メーカーの開発に投入されるのを見てきましたので、いずれ、ソフト人材の人件費暴落するんだろうなあと思ってたら案の定でした。
まあ、コピペして「何か知らんけど動いたラッキー」みたいな感じのプログラムの作りと、考えて作られたプログラムとの違いが納品された側に分からないってのが、そもそも終わってると思うでゲスね。
貼られてるURLのサイトは昔見た記憶がございます。
今弄ってるプログラムは、hidden タグにエスケープしてないパラメータ直ツッコミってのも結構あって、イヤーンな感じです。 🙁