「Yahoo! HotJobs」サイト、XSS攻撃でユーザー認証用クッキーが盗まれる状態に | 情報・通信 | nikkei BPnet 〈日経BPネット〉
「Yahoo! HotJobs」サイト、XSS攻撃でユーザー認証用クッキーが盗まれる状態に 英Netcraftは英国時間2008年10月26日、米Yahoo!のWebサイトがクロスサイト・スクリプティング(XSS)攻撃を受け、ユーザー認証用クッキーを盗むJavaScriptコードが仕込まれたと警告した。Netcraftから報告を受けたYahoo!は対策を施し、同日遅くに問題を解決している。 攻撃を受けたのは、求人情報検索サービス「Yahoo! HotJobs」のWebサイト。XSSのセキュリティ・ホールが存在しており、攻撃用のJavaScriptコードを挿入される隙があったという。同コードはユーザー・ログイン時に「yahoo.com」ドメインの認証用クッキーを盗み、米国内のWebサーバーに送る。 認証用クッキーを入手した攻撃者は、Yahoo!の各種サービス用のユーザー名とパスワードを知らな
米ヤフーの求人サイトに脆弱性--フィッシングに悪用が可能
米YahooのHotJobsサイトにフィッシング攻撃の原因となる脆弱性がある。英国のネットワークサービス会社Netcraftが米国時間10月27日に明らかにした。この脆弱性は、攻撃者にYahooメンバーのメールや他の個人アカウントへのアクセスを可能とし、既に悪用されているという。 フィッシングにおいて攻撃者は、実在する企業(今回の場合はYahoo HotJobs)からと思わせた偽のメールを送付する。特別に作られたJavaScriptコードを含むリンクをクリックすることで、クロスサイトスクリプティングの脆弱性により、ウェブサイトでプログラムが実行される、とNetcraftは述べる。 「このスクリプトは、yahoo.comドメインに送られる認証クッキーを盗み、米国内にある別のウェブサイトに渡している」とNetcraftは27日に述べた。「NetcraftではYahoo対して、最新の攻撃について
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
