水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > XMLHttpRequest話

XMLHttpRequest話

2005年9月30日(金曜日)

XMLHttpRequest話

JVN でも公開されましたね。JVN#31226748 複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性 (jvn.jp)

通常、JavaScript ではウェブページと同一のドメイン内への通信しか行なえませんが、本脆弱性を悪用することにより、この制限を回避されてしまう可能性があります。

以上、JVN#31226748 複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性 より

ああ、なるほど。条件が合うと任意のサーバの Basic 認証のパスワードがとれてしまったりする可能性もありそうで、洒落にならないですね。

※しかし、「リクエスト分割攻撃」という単語も耳慣れないですね。

関連する話題: セキュリティ / IPA / JPCERT/CC / JVN / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト