新人が「会社のHP自分でも落とせる」とか言い始めて上司が慌ててるんだが : IT速報

1:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:16:49.595 ID:kUB5YLs90.net

そいつは文系出身でプログラミングなんて全く無理
それでどうやって落とすの？
一人でF5アタックでもするつもりなんだろうか？

---

3:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:17:45.213 ID:4D7fDYss0.net

サーバーに物理アタック

4:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:17:58.110 ID:VwiT/7ga0.net

そらもう田代砲よ

知らんがSQLインジェクションとかじゃね？

5:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:18:18.932 ID:cqvWqoPZ0.net

DOS対策もしてないなら落とせる

9:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:20:43.513 ID:Q0HhIFfvd.net

>>5
これ

7:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:19:33.574 ID:kUB5YLs90.net

外部から落とせるって言ってる
「やろうと思えばできますけど、やっても意味がないのでしません」
って言ってる

10:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:21:22.860 ID:s+5dlUkt0.net

そいつは何の目的で言ってるのか

8:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:20:24.276 ID:HV6NNS6R0.net

具体的な手順聞いてやれ

12:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:21:33.101 ID:kUB5YLs90.net

うちは小さい会社だからDOS対策なんてしてないだろうけど
一人で田代砲かましたぐらいじゃ落ちないんじゃないの？

15:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:23:39.132 ID:HV6NNS6R0.net

小さい会社ならそれ相応のアクセスしか想定してないだろうし対策無しだと下手したら落ちるんじゃね

16:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:23:54.605 ID:c1FtugFW0.net

今フリーのソフトでパスワードとかIDとか簡単に割り出せるのあるし
ちょっと知識ある人なら30分くらいあればサーバーに不正アクセス出来たりするよ

23:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:26:28.875 ID:kUB5YLs90.net

>>16
マジで？！
もしかして情弱だったのは俺のほう？

17:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:24:22.570 ID:wXb5k7Bfa.net

大っぴらには言えないが俺が今いるプロジェクトのシステムがたった一人のF5アタックで落ちたことがある

18:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:25:03.164 ID:kUB5YLs90.net

もっと言ってたのが
パスワード入力すると社員専用のページも見れるんだが
そこも外部から入れるとか言ってる
それは流石に素人じゃ無理だろ

25:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:27:46.891 ID:CMX4ukQb0.net

>>18
それ専用ページのURL入れてダイレクトにアクセスしたらパス無しでも入れたりしないか？
マジでこんなレベルのとこあるからな

30:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:30:54.642 ID:Nzn7ZcqcM.net

>>25
ログイン入れてるなら下層からのアクセスは弾いてるはずだから直で叩いてもいけない

パス割られたらIP制限してなきゃ入られる

40:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:37:12.269 ID:kUB5YLs90.net

>>30
つまりパスワードがバレなきゃ大丈夫ってことだよな？

31:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:31:28.377 ID:Q0HhIFfvd.net

できるけど、
アクセス元を残すような失敗もあるかもね

40:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:37:12.269 ID:kUB5YLs90.net

>>31
アクセス元が残っててもこっちからそのアクセス元を突き止められない
そんな技術だれも持ってない

19:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:25:03.834 ID:eHSdHxbV0.net

日本企業って意外とネットセキュリティが笊で情報漏洩してるからな
ほんとに落としたら威力業務妨害に当たるだろうが

20:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:25:19.777 ID:CMX4ukQb0.net

対策してない弱小サーバーを過負荷で落とすのに専門知識なんかいらんやろ

21:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:25:22.311 ID:VwiT/7ga0.net

Ophcrackだっけ
あれで管理権限乗っ取ればいけるんじゃね？可能性は限りなく低いだろうけど

29:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:29:56.945 ID:kUB5YLs90.net

>>21
そんなことプログラミング知らない素人にできるの？！

36:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:32:32.225 ID:VwiT/7ga0.net

>>29
Ophcrackだかは別にBIOSで設定して起動すれば総当たり解析し始めるよ

38:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:35:29.457 ID:cqvWqoPZ0.net

>>36
総当りがどれだけ時間かかるか分かってないな

41:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:38:53.297 ID:VwiT/7ga0.net

>>38
いや知ってるからこそ非現実的だと思うし可能性は限りなく低いって書いたんだけど

ただIDとパスワード必要でもSQLインジェクションへの脆弱性なんて大企業のサイトでさえ報告されてるくらいだし

中小企業でホームページ自作なら可能性はあるんじゃね？

まぁ業者にホームページの作成を委託したならまずあり得ないと思うが

48:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:43:33.321 ID:kUB5YLs90.net

>>41
sqlインジェクションってのが何かしらないからビビったけど
要は総当たりってこと？
それなら確率低そうだしいいんじゃね？

54:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:46:53.021 ID:VwiT/7ga0.net

>>48
SQLインジェクションってのは端的に言えば不正な文章を入力フォームとかで構文による命令として誤認識させることで不正アクセスする方法みたいなもん
詳しくはもう忘れた

つまりSQLインジェクションに対して致命的な脆弱性があれば社員専用サイトにも侵入できるしサイトの改ざんまで可能

63:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:54:31.694 ID:kUB5YLs90.net

>>54
単なる総当たりじゃないのか
それはちょっとヤバいかも
それは素人でもできるの？

64:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:55:48.240 ID:VwiT/7ga0.net

>>63
そもそも総当たりじゃない
鍵穴の形合わないからマスターキー使うようなもん

できるんじゃね？構文さえ覚えとけば

65:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:57:24.943 ID:cqvWqoPZ0.net

Wikipediaに構文がある絶望感

72:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:01:37.107 ID:kUB5YLs90.net

>>65
wikiの野郎余計なマネを
もう絶対募金してやらん

26:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:27:58.450 ID:7styCaO7a.net

なんか>>1びびってる？

33:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:32:19.786 ID:kUB5YLs90.net

>>26
上司にそんなことは無理ですから安心して下さいって言っちゃったよ俺

24:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:27:32.655 ID:nsB4Wc3/0.net

雇い続けると危なさそうだから首にしようぜ

33:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:32:19.786 ID:kUB5YLs90.net

>>24
うん
とりあえずそいつは林檎厨で情強アピールしてるのがうざい

35:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:32:31.586 ID:nsB4Wc3/0.net

できたから何？って言えないの？

42:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:39:40.189 ID:kUB5YLs90.net

>>35
言えるか！
素人の林檎厨でも侵入できるHPぐらいプロの手にかかればあっという間にエロサイトに変えられるってことだろ
会社としては大問題だよ！

44:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:41:20.601 ID:nsB4Wc3/0.net

>>42
訴えりゃいいんだから強気に出ろよ
そこでキチガイを見る目にかえなきゃ舐められて終わり

37:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:34:36.197 ID:a6FJE3CQ0.net

セキュリティ云々よりそんな発言を堂々とするヤツを採用した会社のがヤバイ

48:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:43:33.321 ID:kUB5YLs90.net

>>37
田舎の中小なんてそんなもん

45:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:41:32.867 ID:DXUpxTrx0.net

最弱サーバなら一人のF5ですら落とせるよ
俺の自鯖とかショボ過ぎて落ちまくるからイライラする

57:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:49:28.580 ID:kUB5YLs90.net

>>45
サーバーはどこかは詳しくしらんけど外部に金払ってるはずだから
そんなに弱くはないはず

51:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:45:37.212 ID:niodZODU0.net

カス会社のホームページ落としても暇つぶしにしかならないけどな

60:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:52:00.283 ID:kUB5YLs90.net

>>51
まあ、そうなんだけどね
別に社員専用ページもそんなにたいした情報も載せてないから
最悪バレてもなんとかなるんだけどね

46:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:41:47.327 ID:6ksOTTwga.net

ポチ、システムエラー

新人「ほらね」

53:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:46:04.665 ID:m0wt1VneM.net

DDoS攻撃が8ドルで誰でも買える時代だからなあ
技術や知識のあるなしは関係ない

59:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:49:44.383 ID:NJ9rgXoQ0.net

DNSリフレクションでもやるんじゃね？

67:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:57:48.941 ID:kUB5YLs90.net

>>59
なんすかそれ？

79:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:07:03.273 ID:NJ9rgXoQ0.net

>>67
DNSリフレクションってのは、まあDDOSの一種だ
インターネットにはDNSサーバって言って、IPアドレスとホスト名を一致させるサーバーがいっぱいある
たとえで言うと、「出席番号〇〇番って誰？」って聞くと律儀にフルネームで応えてくれる人だな
この返信はフルネームだからデータ量が何倍にもなってる

ここで、変成器を使って別人の声でこいつに話しかけてみる。

たとえば毛利小五郎の声でDNSサーバくんに「出席番号○○番って誰？」っていうと、本物の毛利君のところにフルネームを言いに行く
これをたくさんのDNSサーバーで、何度も行った場合、ターゲットのところに大量のデータが送りつけられることになる。

これの怖いところは、対策はDNSサーバーにしかできない（ターゲットにされた側は打つ手がない）ってこと

まあ変声器みたいに発信源を偽装する技術が必要だからプログラミングの知識がないと難しいかもな

80:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:08:25.163 ID:cPQu3q0t0.net

>>79
すげえ
なれる！ＳＥみてぇ

89:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:15:14.861 ID:kUB5YLs90.net

>>79
なんとなくわかった
とりあえず最後の一文で新人にはできないことはよくわかった

90:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:17:53.355 ID:+zxv+8Y80.net

>>89
できるできないじゃなくて
やった場合痕跡から犯人追えるようにするのが大事なんだよ
社内のアカウントの管理システム発注すんだな

95:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:21:25.194 ID:kUB5YLs90.net

>>90
そんな高そうなシステム中小じゃとても無理だよ
そんなのに金払うぐらいならドロップボックスとかで情報共有するよ

61:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:53:40.517 ID:F4fiDLT20.net

可能性の問題でいえばインターネットにつながっているＰＣがローカルエリア接続しているならログインできるな
外部に金払っているならDDOSは防いでくれるんじゃないかな？
XSSやSQLインジェクションは会社の責任だから知らん

62:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 01:54:01.644 ID:cqvWqoPZ0.net

まともな知識の無い奴でも出来るって言ったらDOSくらいじゃないのかなー

72:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:01:37.107 ID:kUB5YLs90.net

>>62
俺も田代砲が精一杯だと信じたい

71:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:00:56.444 ID:xZLzpBKD0.net

ならそうならないように会社のHPに対策してくれよｗｗｗって言え

83:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:10:41.708 ID:udBzDQJu0.net

>>71でいいじゃん

89:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:15:14.861 ID:kUB5YLs90.net

>>83
まあそうだな

96:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:21:33.086 ID:NJ9rgXoQ0.net

田代砲には劣るけどping攻撃ってのが一番お手軽なDoSだな
ネットワークの応答速度測るコマンドを悪用する

Windowsのスタート→アクセサリ→コマンドプロンプトってのを開いて

　　ping -t -l 65500 (サーバーのドメイン)
って打ち込んでEnterすると一秒に一回65500バイトのデータを送り付ける
秒間一回ってのは変えられないけど、多重起動で補う

多重起動も自動化できる

メモ帳に
start ping -t -l 65500 (サーバーのドメイン)
ってのをたくさんコピペして、拡張子を.batにして保存、
それをダブルクリックでコピペした数だけ自動起動する

98:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:23:15.138 ID:cqvWqoPZ0.net

>>96
ついでに最後に自分を開くようにすれば無限にやり続けるな

86:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:12:07.125 ID:vlkbQh/W0.net

新人の戯言で慌てちゃう上司かわいい
付き合いたい

92:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:19:16.119 ID:kUB5YLs90.net

>>86
ハゲでもいいですか？

102:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:26:57.123 ID:bBCq0z+70.net

それでも外部に委託してるならそこの会社はセキュリティキッチリしてるはずだし、並みのプログラマーでも無理
そもそもクラックっていうのは足をつかずにするにはそれこそプログラムとネットワークのスペシャリストでないとできない

108:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:29:52.580 ID:NJ9rgXoQ0.net

>>102
Tor使えばログから辿らないようにはできるとおもう
気付かないうちに情報が抜かれてた！的なのは仰る通り無理だけどな

104:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:27:44.187 ID:+cIIW3+R0.net

落とすことなんか割りとできるだろ、ただ犯罪だから誰もやらないだけだ

125:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:51:06.592 ID:zp/MVCIQ0.net

若かりし頃に全く同じ事言って「じゃあやってみろ」って言われたから一日会社休んでroot奪ってやったことがある

134:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 03:11:58.174 ID:24fZ/Iwz0.net

なんか予想外に為になるちゃんとしたスレになったな
おもしろ文系スレかと思ったが

135:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 03:16:50.714 ID:kUB5YLs90.net

>>134
うん俺もこんな流れになるとは思ってなかった
新人叩きのスレになるかと思ってた
それでストレス発散できればと思っていた自分が恥ずかしい

136:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 03:21:38.584 ID:+sW3quDN0.net

落とすだけだと攻撃者には得がない場合が多いんだよな

落とした隙に乗っ取って攻撃の起点にしたり情報を盗んで初めて攻撃者が喜ぶ

悪意のないやつが遊び半分でDoS攻撃しても致命傷にはなりにくい

105:以下、＼(^o^)／でVIPがお送りします 2015/07/17(金) 02:28:22.040 ID:cqvWqoPZ0.net

まあ、クラッキング自体は猿でも出来るけどね、バレないようにするのが大変

元スレ：http://viper.2ch.sc/test/read.cgi/news4vip/1437063409/