水無月ばけらのえび日記

予告.inがXSSでやられた

ヤラレチャッタ。

• 予告.inが不正コード被害、閲覧で２ちゃんねるに犯行予告投稿 (internet.watch.impress.co.jp)
• 「予告.in」に不正コード埋め込み　閲覧すると2chに犯行予告投稿 (www.itmedia.co.jp)
• 予告inにおけるXSS脆弱性、及び被害の概要について (yokoku.in)

XSSで実害が出て報道されるのは珍しいですね。a threadless kite - 糸の切れた凧(2008-08-03) (yamagata.int21h.jp)によると、通報対象の URL として以下のようなものを入力されたようです。

そして上記のURLがa要素のhref属性にそのまま出力されてしまったと。

※ちなみに予告.inでは、属性値がいっさい引用符で括られていないようです。嫌な予感がしますが……。そもそも脆弱うんぬん以前にinvalidですし、なんかHTMLが全体的に凄すぎます。このHTMLで安全に作れという方が無理です。

罠のリンクを踏み、その URL に含まれているスクリプトがターゲットのサイトで発動というのが XSS のよくあるパターンですが、今回はそうではなくて、サイト自体にiframeが埋め込まれてしまった形です。このタイプは罠を踏む必要がなく、ブックマークからアクセスしても発動しますので、用心していても回避できないですね。

※よく考えると、このタイプを「クロスサイト」と呼ぶのは適切ではないような気もしてきましたが、まあそこは気にしない方向で。

で、iframeで呼ばれた悪意あるサイトに攻撃のスクリプトが書かれていると。

これは、どちらかというとCSRFに類似した問題が2ch側にあるという話ですかね……(ログインしていないのでCSRFではない)。このあたりは、2006年 ウェブアプリケーション開発者向けセキュリティ実装講座 (www.ipa.go.jp)の高木さんの講演 (「CSRF」と「Session Fixation」 の諸問題について) で議論されているのですが、そこでは以下のように述べられています (スライドの18ページ)。

2chではこの問題は対策済みであるという話ですが……。この対策が有効になっていなかったのか、それとも何らかの方法で貫通された (Referer捏造された?) のか、興味深いところですね。

• 「予告.inがXSSでやられた」へのコメント (3件)

関連する話題: Web / セキュリティ / クロスサイトスクリプティング脆弱性 / CSRF / CSRFではない