symfony 1.0 のセキュリティ機構に抜け道が見つかる
sfAction の is_secure() と getCredential() に問題があり、URL 中のアクション指定時に大文字を混ぜると、セキュリティーチェックがスルーされてしまいます。
(2006/3/20) この問題へのフィックスを含む symfony 1.0.1 がリリースされています。
ぷぎがぽぎ - is_secureのバグ
http://d.hatena.ne.jp/brtRiver/20070317/1174150489
以前にもあったバグと記憶していますが、再発してしまったみたいですね。
詳細は上記のブログエントリまで。
apache アクセスログからの不正操作チェックは、こんな感じでどうでしょうか。
egrep -v '(GET|POST) \/[a-zA-Z0-9_-]+\/update' access_log | egrep '(GET|POST) \/[a-zA-Z0-9_-]+\/[Uu][Pp][Dd][Aa][Tt][Ee]'
※ edit, list, show も必要に応じて