Cross Site Printing
(Last Updated On: 2008年1月11日)クロスサイトスクリプティングと同じ要領でネットワークプリンタに接続して印刷してしまう「Cross Site Printing」と呼ばれている手法が公開されています。 <img src=”myprinter:9100/Print_from_the_web”> ポート9100でネットワークプリンタが印刷できる状態で待機しているので印刷できてしまいます。クロスサイトリクエストフォージェリと同じようなもの、と言った方が分かりやすいかも知れません。PDFにはFAXの送信方法も記載されています。 Cross Site Printingの仕組みは単純ですが根本的な対策は簡単ではありません。
クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記
昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく なりすましのようなことが結果としてできる どちらも受動型攻撃である それに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全然違うものですよ」となるのだろうが、現に混同している人がいるのだから紛らわしい点もあるのだろう。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く このため、XSSでできる悪いことは、すなわちJavaScriptでできることであって、攻撃対象のCookieを盗み出すことが典型例となる。一方、CS
Flash による Referer 偽装攻撃の有効性 - おおいわのこめんと(2006-11-08)
■ [Security] Flash による Referer 偽装攻撃の有効性 なんか僕が海外に出かけるとなにかしらの事件が起こっている気がする……。とりあえず今回の件は、単純に Flash の脆弱性なんで、とっとと update しましょう、まる。 で、Flash の実験環境がないので試せないでいるし、アドバイザリもまだちゃんと読んでいないのだが、あくまで一般論として言えば XMLHTTP のようなインタフェースを提供されている状態で、Referer が設定できるだけではセキュリティへの影響は限りなく低い。むしろ、ほかのヘッダが設定できる方がやばい。Flash の脆弱性に特異な状況があればぜひ知らせてほしい。 実際、この件は昨年9月の XMLHTTP インタフェース経由の Content-Length 偽装による Request Splitting 脆弱性をレポート した際に Bugzi
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
