(閉じる)

はてなブックマーク > コンピュータ・IT > 予告inにおけるXSS脆弱性、及び被害の概要について ...

予告inにおけるXSS脆弱性、及び被害の概要について - 予告in

yokoku.in

タグ :

コンピュータ・IT 102 users このエントリーをはてなブックマークに追加

予告inにおけるXSS脆弱性、及び被害の概要について - 予告in

8/3 02:18~03:55の間、犯行予告の投稿欄にXSS脆弱性を突いた不正なコードを埋め込まれ、 予告inトップへのアクセスと同時に、強制的に2ちゃんねるに、 [警視庁を爆破する 嘘です。]という犯行予告文を投稿されてしまう現象が発生しました。 ※『XSS(クロスサイトスクリプティング)脆弱性』とは、Webサービスセキュリティ上の不備を意図的に利用し、 悪意のあるスクリプトを混入させることを言います。 調査を行った結果、 『事前に犯人の用意した特定のページに強制的にアクセスをさせることで、2chに犯... > このページを見る

最終更新時間: 2008年08月03日16時35分
▼ブログで紹介する

みんなのブックマーク 人気(0) 新着

  • colamune colamune
    これで開発時間が短い=穴があるの式ができちゃったかなぁ 2008/08/07
  • tyu-ba tyu-ba , , , , , , ,
    予告inが予告しちゃったという、笑えない事件。 2008/08/07
  • pochi-p pochi-p ,
    あわわ、酷いトンデモをブクマコメしてしまった…(恥ははてダへ保存)。CSRFな移動先無くてもxssはどのみちsecurity脆弱性ですよねorz / 矢野さんにはとにかく頑張ってとしか。 2008/08/04
  • denken denken , ,
    利用者が任意に投稿した文字列があるシステムではセキュリティホールになるのだとしても、それはそのシステムを採用した側の責任であって投稿者には自由な文字列を投稿できる自由が認められるべき。 2008/08/04
  • ore_de_work ore_de_work , , , ,
    「当社に過失はなかった」「考えられる最高レベルのセキュリティ対策をしてきたつもりだった」とか言っておけばokok 対策放置するのが、サイバー・ノーガード戦法の醍醐味 2008/08/04
  • mayu-h mayu-h
    これだけ話題を呼べば、どこかの出版社が「本にしませんか?」とオファー入れている頃かも。 2008/08/04
  • ghostbass ghostbass , ,
    この手の対応って個人だプロ(ベンダー)だ関係ない、と。気をつけねば/asp.netの"Text"プロパティの一貫性の無さは危険だ 2008/08/04
  • I11 I11 , ,
    予告.inで紹介されている予告の一部は犯罪予告ではなく単なるサイトの脆弱性で、予告.inにも犯罪予告の責任の一端が存在したことを自ら認めた予告.in。┐(´ー`)┌ 2008/08/04
  • inamenai inamenai
    「一人で作った」「2時間で作った」と広く話題になったサービスだけに、個人運営サービスの悪い見本にされてしまいそうで残念。せっせと通報に励む前にやるべきことがあったのでは。 2008/08/04
  • okdt okdt ,
    丁寧な告知 2008/08/04
  • GARAPON GARAPON
    どこにでも穴がるもんなんだな。 2008/08/04
  • koseki koseki
    そうぞうした通りのことが起こってておもしろい。 2008/08/03
  • tsupo tsupo , , , , ,
    犯行予告の投稿欄にXSS脆弱性を突いた不正なコード / 予告inへのアクセスと同時に、犯行予告文を、強制的に2ちゃんねるに投稿されてしまう / 警視庁ではすべての事実を把握しており、調査を行っている最中 2008/08/03
  • fukken fukken
    セキュリティチェックは個人だと(楽しくないので)手抜きになりがちだし、時間もかかるし、ひとりの目だと見落としも多いよね。とはいえ自動チェックツールくらいは通せよとは思うのだが 2008/08/03
  • al001 al001
    対応は悪くないのでは。 / これがちょっと気になる。"携帯版利用者"では。> ※携帯利用者には影響はありません。 2008/08/03
  • oldriver oldriver
    2chの投稿ってCSRFできちゃうんだ 2008/08/03
  • l0x0l l0x0l ,
    これをどこか別のサイト、手段でやられたときに、僕は警察に対して身の潔白を証明できるのでしょうか? 2008/08/03
  • wacking wacking
    結局、個人が速攻でつくることの危険性を示す形になってしまいましたね。 2008/08/03
  • t-tanaka t-tanaka , ,
    ネット上の「犯行予告」について,それが本人によって書かれたものか,何らかの手段によって他人に書かされたものなのか,確認する手段はない。その辺,予告.inの管理人はどう考えているのか,コメントが聞きたい。 2008/08/03
  • HiromitsuTakagi HiromitsuTakagi ,
    「『XSS脆弱性』とはWebサービスのセキュリティ上の不備を意図的に利用し悪意のあるスクリプトを混入させることを言います」< 間違い。脆弱性とは「セキュリティ上の不備」のことであって、「混入させること」ではない 2008/08/03

このブックマーク一覧を非公開にするには?

はてなブックマークを使ってみる(無料)
はてなブックマークって?
はてなブックマークはオンラインでブックマークを管理・共有できる無料サービス。自宅、職場、外出先、どこからでも同じブックマークにアクセスできます。ユーザーはみんなでブックマークを共有して効率良く情報収集しています。あなたもはてなブックマークを始めてみませんか?