Masato Kinugawa Security Blog: ホストの前に文字が置けることを忘れるな
今日は、 そもそもホストの前に任意の文字列を置けるということを忘れていると、うっかりそこにJavaScriptで触ってしまった時に問題が起こる場合があるよね、という話をします。 以前紹介したlocation.hrefの問題に似ていますが、今回取り上げているのは文字列がデコードされることにより起きうる問題ではなく、文字列が取得されることで起きうる問題についてです。 まずは、様々な形でJavaScriptでURLを確認できるスーパーウェブサイトを用意致しましたので、ホストの前に文字列を含むURLが、どの値で取得されているかを実際に見てみてください。 http://user:pass@vulnerabledoma.in/location/ (※このページはURLをそのまま書きだしているため、当然DOM based XSSがありますが 、その挙動も含めて確認できるようにする目的があるので、あえてそ
なりすまし犯行予告に悪用可能なWebアプリケーション脆弱性
なりすまし犯行予告が話題になっています。現在問題になっているものは、マルウェアが使われているようですが、それ以外に、無線LANの乗っ取りや、Webアプリケーションの脆弱性悪用などの手法があります。NHKの報道では、クロスサイトリクエストフォージェリ(CSRF)脆弱性が、過去に悪用された事例が紹介されています(ただしmixiの例と思われます)。 また、3つ目として、利用者からの投稿を受け付ける掲示板側にセキュリティー上の欠陥があった場合、利用者がウイルスに感染しなくても、書き込みをされるおそれがあります。 このうち、CSRF=クロスサイトリクエストフォージェリと呼ばれる攻撃手法では、利用者に攻撃者が用意したホームページのリンクをクリックさせただけで、別の掲示板に文章を投稿させることが可能だということです。 この場合、利用者はクリックしただけなので、文章を投稿したことにはほとんど気付かないとい
民放へのメール 計6件への関与認める NHKニュース
遠隔操作できるウイルスに感染したパソコンが悪用され、犯罪を予告する書き込みをした疑いで男性2人が逮捕されたあと釈放された事件で、都内の民放に自分が真犯人だとして6件の脅迫事件への関与を認めるメールが届いていたことが分かりました。 警視庁は犯人しか知り得ないような内容が書き込まれていることから犯行声明の疑いがあるとみて調べています。 この事件は、ことし7月、大阪・中央区のホームページに無差別殺人を予告する内容の書き込みがされたほか、9月には、三重県の伊勢神宮を「爆破する」などと書き込まれたもので、いずれも遠隔操作できるウイルスに感染したパソコンが悪用され、逮捕された男性2人が無関係の可能性が高いとして釈放されました。 この事件を巡って今月10日、民放のTBSに対して「私が真犯人です」というタイトルで、「現在報道されている大阪・三重の遠隔操作ウイルス事件について私が犯人です」と書かれたメールが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
