水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > XSSの時代?

XSSの時代?

2006年6月19日(月曜日)

XSSの時代?

なんだか XSS を利用した攻撃が流行りつつある気配が……。

今回のフィッシングでは,細工が施されたリンクをクリックすると,PayPalのSSL(Secure Sockets Layer)を使ったページが表示される。このページ自体は本物。URLは「https://www.paypal.com/」から始まっており,ブラウザの錠マーク(pad icon)をクリックすれば,正当なSSL証明書が表示される。ただし,XSS脆弱性が悪用されて,コンテンツの一部が改変されている。

以上、フィッシング詐欺に新手法,本物のSSLサイトから偽サイトへリダイレクト より

新手法ですか……。以下は、私が 2002年6月16日に社内向けに書いたメールからの引用。

あと、その捏造されたサイトにもしっかり SSL が効いているという点を追加して欲しげです。

IE とかならウィンドウの右下には鍵マークが出ますし、〓〓〓〓〓のサーバ証明書も確認できて、それは当然有効です。

似たようなページを勝手に捏造しても似たようなことは出来るのですが、このケースにおける最大の脅威は、この捏造ページが本物の〓〓〓〓のサーバ(〓〓〓〓〓証明書つき)から送られてきているということです。ページは捏造されているにもかかわらず、SSL による暗号化と〓〓〓〓〓によるサーバ証明書までついちゃっているわけです。

ですからユーザには、これがニセモノであると見破る術がありません。いちおう、IE なんかはデフォルトでは SSL 保護つきのページから別のサーバにフォーム送信されるときに警告ダイアログを出しますが、こんなダイアログは多くの場合無視されますし、最初から警告の出力自体がオフにされていることも多いです。

なんと言っても、捏造された罠フォームのページにサーバ証明書が出ているという点は大きいでしょう。

このとき私が作った PoC コードはインパクトがあったようで、そのときの体験が後にとある雑誌のコラムで紹介されたりしているわけですが (もちろん PoC は公開されていない)、そんなこんなも含めて非常に懐かしいですね。それがここへ来て「新手法」として紹介されるというのは、なかなか不思議な感覚です。

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性 / SSL/TLS

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト