水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > ホゥルその後

ホゥルその後

2002年3月25日(月曜日)

ホゥルその後

某方面のクロスサイトスクリプティング脆弱性の話ですが、その後の調査でさらに強烈なホゥルを発見しました。特定の URL にアクセスすることで任意のホストの任意のポートにアクセス要求を出すことが可能です。実際には、そういった外へのリクエストはファイアーウォールに阻まれて外には出ない……と思いきや、試してみるとしっかり外部のホストにログが残る始末。

これを悪用すれば、任意のホストに対して簡単に DoS 攻撃が行えます。クロスサイトスクリプティング脆弱性どころの騒ぎではありません。

しかもこのシステム、単独で開発されたものではなく、某方面の関連会社が作った製品らしい事が判明しました。そのため総合トップのみならず、某方面全体で幅広く使われている模様。さらに、某地方公共団体のサイトにも使われています。もちろん、それらすべてに同じホゥルが存在しています。

いやーすばらしい。

関連する話題: Web / セキュリティ / 某方面 / クロスサイトスクリプティング脆弱性

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト