XMLHttpRequest話
2005年9月30日(金曜日)
XMLHttpRequest話
JVN でも公開されましたね。JVN#31226748 複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性 (jvn.jp)。
通常、JavaScript ではウェブページと同一のドメイン内への通信しか行なえませんが、本脆弱性を悪用することにより、この制限を回避されてしまう可能性があります。
ああ、なるほど。条件が合うと任意のサーバの Basic 認証のパスワードがとれてしまったりする可能性もありそうで、洒落にならないですね。
※しかし、「リクエスト分割攻撃」という単語も耳慣れないですね。
- 「XMLHttpRequest話」へのコメント (2件)
関連する話題: セキュリティ / IPA / JPCERT/CC / JVN / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): 油そば
- 次(新しい): 一太郎アイコン控訴審で逆転
