ライトプランは何もできないけど、FTPで繋いだ場合は一応ルートディレクトリまで閲覧できるようになっているようだ。
今までは /home/username/www の配下ばかり操作していたけど、折角なので色々と探検してみることにした。
早速 /home を覗いてみると、諸先輩方が約280ユーザー。後輩はまだ1ユーザーというところ。
全ユーザーが100GBまで目一杯使った場合は28TBのディスクが必要になるけど、絶対にそんなに積んで無いだろう。詰め込めるだけ詰め込んでいるに違いない。
基本的に、https://username.sakura.ne.jp でアクセス可能なので先輩方のページを見てみると、8割くらいは企業のWEBページみたい。実は個人ユーザーばかりだと思っていた。
同じプランのユーザーは同じサーバーで運用されているらしく、月額121円で運用している企業のなんと多いことか。。。現在の日本の縮図なのかも。
さくらインターネットの基本仕様によると、/tmp も使用可能だとか。ちなみに一時的に使うことができる作業場所のことだ。
実際の場所は、/var/tmp でゴミが散乱しているような所なので何も楽しくは無いのだけど一応覗いてみる。
すると、sess_[謎の文字列]という0バイトのファイルが沢山あった。結構人気サイトの様である。
sessってセッションの略じゃね?と思い、このファイルを作ったサイトにアクセスしてみる。
すると誰でも知っている企業のWEBページだった(おいおい!ここも121円なのかよ!)
ブラウザを開発者モードにしてPHPSESSIDを調べてみると、sess_[謎の文字列]と同じだった。。。
ということは、いわゆるセッションハイジャックが可能なんじゃ???
有名な会社なのに。えっ???個人情報は扱ってなさそうだったけど。。。
自分のセッションIDをハイジャックする分には、不正アクセス禁止法の範囲外なのだろうか?
OKなら、ちょっと試してみたい。
FreeBSDを触ったのは20世紀の頃だけど、なんだかんだで楽しめた。ちょっとだけハッカーになった気分になれた。
コメント