hylomによる
2008年08月04日 14時16分の掲載
陥りやすい罠部門より。
陥りやすい罠部門より。
Anonymous Coward曰く、
2ちゃんねるなどの掲示板を監視し、「犯行予告」を集積するシステム「予告.in」で、クロスサイトスクリプティング攻撃によって不正コードを埋め込まれていたことが判明した。
予告.inには、犯行予告を通報するフォームが用意されているが、そのフォームの一部(具体的にはURL入力部分)でエスケープ処理を行っておらず、その結果URL部分に悪意のあるコードを埋め込むことが可能になっていたのが原因とのことだ。
これにより、予告.inのトップにアクセスを行うと、2ちゃんねるに「警視庁を爆破する 嘘です」という犯行予告文を投稿してしまう、という現象が発生していたとのことだ。
入力データのサニタイズはセキュリティの基礎ではあるが、確かにURLは見逃しがちな個所ではありそうだ。/.erにはCGIやWebアプリケーションを作成されている方も多いとは思うが、入力されたデータのチェックはすべての項目について、忘れないで行ってほしいものだ。
関連ストーリー
秀逸なXSSの練習サイト 21 コメント
サニタイズ言うな (スコア:4, 参考になる)
○出力データの適切なエスケープ
コメントを書く
今回はXSSであると申告されたからよかったものの (スコア:3, すばらしい洞察)
サイト管理者が申告しなかったり,そもそも放置されたまま動いているような
掲示板経由だったりすると濡れ衣を着せられた人はそれを証明する手段がないですよね・・・
ペーストビン [windy.cx]
コメントを書く
Refererヘッダ (スコア:2)
そのチェックルーチンにバグがあったのでしょうかね?
それとも攻撃者の指定したRefererが送信されたのでしょうかね?
以前のFlash PlayerはActionScriptで任意のRefererを送信できたようですが
それを悪用した攻撃だったのでしょうかね?
また とあるのも気になります。
IEのレンダリングエンジンのスクリプトやアプレットの実行部分に、任意のRefererを送信させる穴があるならば、
RefererをチェックするというCSRFの対策法は意味がなくなってしまいますし・・・
単なる臆病者の Anonymous Cat です。略してACです。
コメントを書く
何の罪になる? (スコア:2, 興味深い)
何の罪になるんでしょうか?
不正アクセスじゃあないですよね?
犯罪でも犯罪でなくても、この際、「予告.in」が犯罪予告の通報だけ
じゃなくてサイバー攻撃のハニーポット役になって、クラッカーを
捕まえるきっかけになって欲しいもんです。
-- う~ん、バッドノウハウ?
コメントを書く
えー (スコア:1)
見逃している時点でエンジニアとしての力量が知れてしまいそうなものですが。
// 流石にこれはなぁ・・・(:>^
コメントを書く
Re:えー (スコア:4, すばらしい洞察)
同情が先に来ます。
#お金をつぎ込んでバグが無くなれば世の中もっと平和でしょうね
コメントを書く
親コメント
Re:えー (スコア:5, おもしろおかしい)
コメントを書く
親コメント
Re:えー (スコア:4, おもしろおかしい)
コメントを書く
親コメント
Re:えー (スコア:3, すばらしい洞察)
責任の所在の不明瞭化を図るために
2億円ほどかかるんじゃないでしょうか
コメントを書く
親コメント
Re:予告.inの性質にもよる (スコア:2, すばらしい洞察)
#それが事前に示されただけで儲けもの。
コメントを書く
親コメント
Re:予告.inの性質にもよる (スコア:2, すばらしい洞察)
その内容を確認して逮捕に踏み切るのかどうか判断するのは警察の仕事であり、
そこに誤認逮捕などがあれば、責任は警察にあると思います。
そうじゃないと、警察に情報協力する一般人はいなくなっちゃうよ。
コメントを書く
親コメント
犯行予告の限界 (スコア:1)
っていう思考がもう限界なんじゃないだろうか。
それこそ便所の落書きとかチラシの裏に犯行予告が書いてあっても防ぎようもないし誰も咎めないでしょう。
(まぁ、家族が見れる状態なら家族が非難されるかもしれんけど)
犯行予告があっても放置、その後実際に犯罪があっても未然に防げなかったと騒ぐ必要無し、でいいんじゃないかと思いつつ、
実際に犯罪に遭遇するとそうとも言えないんだろうなぁ。
# 犯行予告スレに慰めるコメントを書き込むスクリプト作る方が効果あったりして
コメントを書く
2時間の時点で (スコア:1)
どう考えても2時間じゃテスト適当しか不可能だし。
まあ2時間自体が大分誇張でもあるだろうし。
この分だと他にも・・・・
と作者も考えて今頃チェックしてるんだろうなきっと。
コメントを書く
新手のDOS攻撃ですか? (スコア:1)
2.犯罪予告が掲示板に書き込まれる。
3.犯罪予告を掲示板で見た人が予告.inにアクセスする。
4.2.に戻る。
#やがてみんな逮捕されて収束する:-
コメントを書く
Re:で、2chに投稿された警視庁爆破の同文面の犯罪予告は (スコア:1)
コメントを書く
親コメント
Re:で、 (スコア:1)
大変申し訳ございませんが、おっしゃっていることがよくわかりません。
当該ストーリーで、私が「総務省を馬鹿にする」ようなコメントをしておりましたでしょうか。
# そもそも当該ストーリーでコメントした記憶もないのですが
混沌の中にこそ真実がある・・・かもしれないけど探すのめんどい
コメントを書く
親コメント