XSSの時代?
2006年6月19日(月曜日)
XSSの時代?
なんだか XSS を利用した攻撃が流行りつつある気配が……。
- 産経の情報サイト「イザ!」でトラックバックが改竄される障害 (internet.watch.impress.co.jp)
- フィッシング詐欺に新手法,本物のSSLサイトから偽サイトへリダイレクト (itpro.nikkeibp.co.jp)
- (古いですが)「Yahoo! Mail」の脆弱性を突くウイルスが見つかる、メールを開くと感染 (internet.watch.impress.co.jp)
今回のフィッシングでは,細工が施されたリンクをクリックすると,PayPalのSSL(Secure Sockets Layer)を使ったページが表示される。このページ自体は本物。URLは「https://www.paypal.com/」から始まっており,ブラウザの錠マーク(pad icon)をクリックすれば,正当なSSL証明書が表示される。ただし,XSS脆弱性が悪用されて,コンテンツの一部が改変されている。
新手法ですか……。以下は、私が 2002年6月16日に社内向けに書いたメールからの引用。
あと、その捏造されたサイトにもしっかり SSL が効いているという点を追加して欲しげです。
IE とかならウィンドウの右下には鍵マークが出ますし、〓〓〓〓〓のサーバ証明書も確認できて、それは当然有効です。
似たようなページを勝手に捏造しても似たようなことは出来るのですが、このケースにおける最大の脅威は、この捏造ページが本物の〓〓〓〓のサーバ(〓〓〓〓〓証明書つき)から送られてきているということです。ページは捏造されているにもかかわらず、SSL による暗号化と〓〓〓〓〓によるサーバ証明書までついちゃっているわけです。
ですからユーザには、これがニセモノであると見破る術がありません。いちおう、IE なんかはデフォルトでは SSL 保護つきのページから別のサーバにフォーム送信されるときに警告ダイアログを出しますが、こんなダイアログは多くの場合無視されますし、最初から警告の出力自体がオフにされていることも多いです。
なんと言っても、捏造された罠フォームのページにサーバ証明書が出ているという点は大きいでしょう。
このとき私が作った PoC コードはインパクトがあったようで、そのときの体験が後にとある雑誌のコラムで紹介されたりしているわけですが (もちろん PoC は公開されていない)、そんなこんなも含めて非常に懐かしいですね。それがここへ来て「新手法」として紹介されるというのは、なかなか不思議な感覚です。
- 「XSSの時代?」にコメントを書く
関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性 / SSL/TLS
- 前(古い): 今日の心に残った一言
- 次(新しい): DSブラウザー
