パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

予告.in、XSS攻撃を受け不正コードを埋め込まれる」記事へのコメント

  • by tietew (6130) on 2008年08月04日 15時11分 (#1396392) ホームページ
    ×入力データのサニタイズ
    出力データの適切なエスケープ
  • 今回はXSSによるものであるとサイト管理者側から申告されたからよかったものの,
    サイト管理者が申告しなかったり,そもそも放置されたまま動いているような
    掲示板経由だったりすると濡れ衣を着せられた人はそれを証明する手段がないですよね・・・
    --
    屍体メモ [windy.cx]
  • by Anonymous Cat (27860) on 2008年08月04日 17時29分 (#1396491)
    2chはRefererヘッダをチェックしていて、空だったり他のサイトのものだったりすると書き込まれないと思っていましたが、
    そのチェックルーチンにバグがあったのでしょうかね?

    それとも攻撃者の指定したRefererが送信されたのでしょうかね?

    以前のFlash PlayerはActionScriptで任意のRefererを送信できたようですが
    それを悪用した攻撃だったのでしょうかね?

    また

    被害にあった可能性のある対象者
    8/3 02:18~03:55に予告inトップにPCでアクセスした利用者。
    更に、IE系の描画エンジンを実装したブラウザ(InternetExploler、Sleipnir等)を利用していたユーザ。
    FireFox等では発動しないことを確認済みです。
    とあるのも気になります。
    IEのレンダリングエンジンのスクリプトやアプレットの実行部分に、任意のRefererを送信させる穴があるならば、
    RefererをチェックするというCSRFの対策法は意味がなくなってしまいますし・・・

    --
    単なる臆病者の Anonymous Cat です。略してACです。
    • by coffe_ata (31369) on 2008年08月04日 23時40分 (#1396764) 日記
      Flashの脆弱性は一年前にFixしてるはずですね。未知の物だったりしたら……(チーン
      Flash Playerに任意のRefererヘッダが送信できる脆弱性 [itmedia.co.jp]

      掲示板側としては、セッション付きの書き込みの確認ページを挟むのが効果的でしょうね。
      親コメント
  • by ukenerai (36532) on 2008年08月04日 18時18分 (#1396534) 日記
    「予告.in」の中の人は警察に届けたそうですが、攻撃を仕掛けた人は、
    何の罪になるんでしょうか?
    不正アクセスじゃあないですよね?

    犯罪でも犯罪でなくても、この際、「予告.in」が犯罪予告の通報だけ
    じゃなくてサイバー攻撃のハニーポット役になって、クラッカーを
    捕まえるきっかけになって欲しいもんです。
    --
    -- う~ん、バッドノウハウ?
    • by shiten (11861) on 2008年08月05日 9時39分 (#1396938)
      過去の判例からみると、ACCSの事件を思い出しますね。
      スラッシュドット・ジャパン | ACCS事件でoffice氏に有罪判決 [srad.jp] ← 有罪確定 [srad.jp]

      これによると、「アクセスはプログラムの脆弱(ぜいじゃく)性を利用したもので、管理者は想定もしていなかった。アクセス制御機能による『特定利用の制限』がかかっていたといえ、被告の行為は不正アクセスに当たる」とのことです。

      どちらにしても、「XSSの脆弱性に対処してないほうが悪い。だから罪にはならないよー」とは日本人の倫理観では言えないと思う。カギが開いてたから空き巣に入りました、と同レベルに感じる。
      親コメント
  • by ksiroi (24990) on 2008年08月04日 14時22分 (#1396349) 日記
    >入力データのサニタイズはセキュリティの基礎ではあるが、確かにURLは見逃しがちな個所ではありそうだ。
    見逃している時点でエンジニアとしての力量が知れてしまいそうなものですが。

    // 流石にこれはなぁ・・・(:>^
    • Re:えー (スコア:4, すばらしい洞察)

      by sayuporn (33927) on 2008年08月04日 14時37分 (#1396362) 日記
      恥ずかしいバグではありますが、聖書の「罪のない者が石を投げよ」という言葉が頭に浮かぶので、
      同情が先に来ます。

      #お金をつぎ込んでバグが無くなれば世の中もっと平和でしょうね

      親コメント
    • by ttm (8278) on 2008年08月05日 9時30分 (#1396933)
      いいかげん、この手のインジェクションによる脆弱性を発見するツールは普及しないものかな。
      データフローとか使えばできそうなものだと思うけど。
      親コメント
    • by Anonymous Coward
      ちゃんとしたプロジェクトならこんなミスもしなかったんだろうけど、0億円2時間と見栄切っておいて、ダサいとしか言いようがないよね。(プライスレス?)
    • 誰でも失敗する事はあるんだし。

      それより、セキュリティホールが見つかってすぐに対応したのは評価できると思うね。
      最近は知らぬ存ぜぬで無視したり、不正アクセス防止法とやらで居直る奴ばっかりだから。
      • Re:別にいいんじゃね? (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2008年08月04日 15時19分 (#1396400)
        確かに対処は迅速でOKだが、それは当たり前の話であって別に特別良い事はしていない。
        これが仕事で俺が客だったらこんなミスする所には二度と発注しないよ。
        そういうレベル。

        こんなのはあくまで個人サイトで個人のプログラムがこけたレベルの話でしか無いんだが、
        そもそも公共性を前面に押し出して、既に何人もの人間の人生を「自らの手で」左右してる時点で、
        もはやこれは公共物で、不備は叩かれてもしょうがないレベルだと思ってる。

        センセーショナルに煽るだけではなく、もっと現実的な運用を目指せばここまで叩かれる事は無かったと思う。
        親コメント
        • 物が物だったら始末書で済まないものですしね。
          こういってはなんですが、こんな初歩的なミスをする奴とは一緒に仕事したくないです。
          ミスを踏み台にしてステップアップ、が許されるのは一年目までです。

          // 過去に何回の自称エンジニアの尻拭いさせられたことか。(:>^
          親コメント
    • by Anonymous Coward
      「見逃し」と「力量」は関係ないでしょ
      単なるヒューマンエラーじゃん
      レビューなどのチェック体制の問題だね
  • by hrihri (30309) on 2008年08月04日 14時58分 (#1396379)
    犯行予告→実際に犯罪が起きる→犯行予告があったのに未然に防げなかった!

    っていう思考がもう限界なんじゃないだろうか。
    それこそ便所の落書きとかチラシの裏に犯行予告が書いてあっても防ぎようもないし誰も咎めないでしょう。
    (まぁ、家族が見れる状態なら家族が非難されるかもしれんけど)
    犯行予告があっても放置、その後実際に犯罪があっても未然に防げなかったと騒ぐ必要無し、でいいんじゃないかと思いつつ、
    実際に犯罪に遭遇するとそうとも言えないんだろうなぁ。

    # 犯行予告スレに慰めるコメントを書き込むスクリプト作る方が効果あったりして
  • by vsr10 (34175) on 2008年08月04日 15時44分 (#1396417)
    そんな予感もしていたけど。
    どう考えても2時間じゃテスト適当しか不可能だし。
    まあ2時間自体が大分誇張でもあるだろうし。
    この分だと他にも・・・・

    と作者も考えて今頃チェックしてるんだろうなきっと。
  • 1.予告.inにアクセスする。
    2.犯罪予告が掲示板に書き込まれる。
    3.犯罪予告を掲示板で見た人が予告.inにアクセスする。
    4.2.に戻る。

    #やがてみんな逮捕されて収束する:-
  • by Anonymous Coward on 2008年08月04日 14時27分 (#1396353)
    ボクシングの亀田みたいに売り出すつもりだったんでしょうかね
    • by Anonymous Coward
      担ぎ出したのは ITmedia でしょ。
  • 全部予告in経由であることもチェックしたのかい?

開いた括弧は必ず閉じる -- あるプログラマー

処理中...