[3192] Re: 「HTTP要求を捏造する必要性」

記事個別表示 (3192)

これは「水無月ばけらのえび日記 : HTTP要求を捏造する必要性」に関連するコメントです。

[3192] Re: 「HTTP要求を捏造する必要性」

えむけい (2005年9月27日 22時32分)

> 攻撃のリクエストを送るのにわざわざ XMLHttpRequest など利用しなくても、もっと簡単な方法がいくらでもありそうですし。

CookieやBasic認証のパスワードなどの資格情報を、騙されたブラウザが自動的に送ってくれるというメリット【謎】がいちおうあります。

あとうまくやれば捏造したリクエストの結果をブラウザの画面に表示できるようなので、フィッシングにも使えるかもしれません。

> むしろ重要なのは、末尾の "or which share an IP address" という部分かもしれません。

犠牲者のブラウザがプロキシを使っている場合、同じIPアドレスという条件は外れます(プロキシが異なるホストへのパイプラインリクエストをサポートしていればですが)。

> いずれにしても、サーバなりブラウザなりキャッシュサーバなりが HTTP Request Smuggling に対して脆弱でなければ問題ない、という理解で良いのかしら。

脆弱なところがどこにもなければ問題ないのは当たり前だと思います【謎】。

とりあえずFirefox 1.0.6/Mozilla 1.7.11の場合はサーバから見て100%正当なリクエストを捏造できたので、サーバ側が脆弱かどうかは関係ありません。

ただし異なる(バーチャル)ホストへのリクエストを同じコネクションで受け付けないように設定すれば、この攻撃は防げます。

これは「水無月ばけらのえび日記 : HTTP要求を捏造する必要性」に関連するコメントです。
全読: [3192]Re: 「HTTP要求を捏造する必要性」からのスレッド(1件)]
- [3192] Re: 「HTTP要求を捏造する必要性」 : えむけい (2005年9月27日 22時32分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >> 攻撃のリクエストを送るのにわざわざ XMLHttpRequest など利用しなくても、もっと簡単な方法がいくらでもありそうですし。 >CookieやBasic認証のパスワードなどの資格情報を、騙されたブラウザが自動的に送ってくれるというメリット【謎】がいちおうあります。 >あとうまくやれば捏造したリクエストの結果をブラウザの画面に表示できるようなので、フィッシングにも使えるかもしれません。 >> むしろ重要なのは、末尾の "or which share an IP address" という部分かもしれません。 >犠牲者のブラウザがプロキシを使っている場合、同じIPアドレスという条件は外れます(プロキシが異なるホストへのパイプラインリクエストをサポートしていればですが)。 >> いずれにしても、サーバなりブラウザなりキャッシュサーバなりが HTTP Request Smuggling に対して脆弱でなければ問題ない、という理解で良いのかしら。 >脆弱なところがどこにもなければ問題ないのは当たり前だと思います【謎】。 >とりあえずFirefox 1.0.6/Mozilla 1.7.11の場合はサーバから見て100%正当なリクエストを捏造できたので、サーバ側が脆弱かどうかは関係ありません。 >ただし異なる(バーチャル)ホストへのリクエストを同じコネクションで受け付けないように設定すれば、この攻撃は防げます。

新生鳩丸掲示板♯

記事個別表示 (3192)

[3192] Re: 「HTTP要求を捏造する必要性」