ホゥルその後
2002年3月25日(月曜日)
ホゥルその後
某方面のクロスサイトスクリプティング脆弱性の話ですが、その後の調査でさらに強烈なホゥルを発見しました。特定の URL にアクセスすることで任意のホストの任意のポートにアクセス要求を出すことが可能です。実際には、そういった外へのリクエストはファイアーウォールに阻まれて外には出ない……と思いきや、試してみるとしっかり外部のホストにログが残る始末。
これを悪用すれば、任意のホストに対して簡単に DoS 攻撃が行えます。クロスサイトスクリプティング脆弱性どころの騒ぎではありません。
しかもこのシステム、単独で開発されたものではなく、某方面の関連会社が作った製品らしい事が判明しました。そのため総合トップのみならず、某方面全体で幅広く使われている模様。さらに、某地方公共団体のサイトにも使われています。もちろん、それらすべてに同じホゥルが存在しています。
いやーすばらしい。
- 「ホゥルその後」にコメントを書く
関連する話題: Web / セキュリティ / 某方面 / クロスサイトスクリプティング脆弱性
