アカウント名:
パスワード:
氏のブログで、
>そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。僕のブラウザでアラートがでなくなるだけです。
と書いてありますけど、”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、中の人は徹夜とかだったのかもしれませんね。
XSSって、攻撃者が指定した文字列を、細工したURLをクリックした人のブラウザ上で表示させるだけでしょ?それがなんで
>”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、>中の人は徹夜とかだったのかもしれませんね。
って話になるのか理解できないんですが、誰か説明してくれませんか。OSコマンドインジェクションと混同してません?
XSSを使ってサーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツをブラウザ上に表示するだけですよ.
XSSされた時点で"中の人"は負けている訳で,被害状況の調査や抜本的対処等で忙しくなるのはまあ良くある話だと思います.
> XSSを使って> サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを> ブラウザ上に表示するだけですよ.
氏にはサーバに負荷をかける意図はなかったわけですが、そういったことは意図せずに引き起こされるものでしょうか?
>XSSを使って>サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを>ブラウザ上に表示するだけですよ.
XSSを使う必要性が微塵も分からないんですが。それは攻撃者自身が、エラーが大量発生するように細工したURLにアクセスすれば良いんじゃないですか?そしてそれは、XSSではありません。
第一そんな脆弱性があるんなら、今すぐサイトを停止して、修正できるまで閉鎖するべきだと思います。その脆弱性を使ってDB内の顧客情報を抜かれかねませんから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
内部で異常がおこっていたかも (スコア:0)
氏のブログで、
>そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。僕のブラウザでアラートがでなくなるだけです。
と書いてありますけど、”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、中の人は徹夜とかだったのかもしれませんね。
Re: (スコア:0)
XSSって、攻撃者が指定した文字列を、細工したURLをクリックした人の
ブラウザ上で表示させるだけでしょ?
それがなんで
>”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、
>中の人は徹夜とかだったのかもしれませんね。
って話になるのか理解できないんですが、誰か説明してくれませんか。
OSコマンドインジェクションと混同してません?
Re:内部で異常がおこっていたかも (スコア:2)
XSSを使って
サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを
ブラウザ上に表示するだけですよ.
XSSされた時点で"中の人"は負けている訳で,被害状況の調査や抜本的対処等で忙しくなるのはまあ良くある話だと思います.
Re: (スコア:0)
> XSSを使って
> サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを
> ブラウザ上に表示するだけですよ.
氏にはサーバに負荷をかける意図はなかったわけですが、
そういったことは意図せずに引き起こされるものでしょうか?
Re: (スコア:0)
>XSSを使って
>サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを
>ブラウザ上に表示するだけですよ.
XSSを使う必要性が微塵も分からないんですが。
それは攻撃者自身が、エラーが大量発生するように細工したURLに
アクセスすれば良いんじゃないですか?
そしてそれは、XSSではありません。
第一そんな脆弱性があるんなら、今すぐサイトを停止して、
修正できるまで閉鎖するべきだと思います。
その脆弱性を使ってDB内の顧客情報を抜かれかねませんから。