アカウント名:
パスワード:
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、この話題のひとは、通報後もはひたすら攻撃し続けたらしい。直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
調べたんならソースも貼ってくださいよ。通報後もひたすら攻撃し続けたって本当ですか?
察してあげようよ。
今回の話で公の場で発言できない立場の人でしょ。あまりにブログのほうが一方的に自分に有利な情報しか書いていないので悔しくて、第三者が調べて書いたという形式で真実を語るしかなかったと。
何を根拠に『真実』なんていいだすのやら。
ちなみに、私は○○o○の関係者とおぼしき人を幾人か知ってますが、この話を聞いても驚きはありませんでした。さもありなん、という感じです。
と書いたところで、検証できないでしょ?
どっちも噂話レベルの信憑性しかない。朝日、産経、日経あたりがこの噂話を記事で紹介して、2chとか./とかで新聞ソースの記事といって紹介するのがよくあるソースロンダリングの流れ。
それが ”調べた” ですか。
本当に関係者に確認したものなのかどうかも分からないのだから、意味無し。
なら、自分で調査しな! (#2458791) は親切に調査方法をあかし「与太話、噂話とおもってもらうほかないわ」とまで言っているのに例を言うどころか文句たれてるんだから、知りたいことがあるなら自分で何とかしてみるんだね
この手の輩は、明確なソースを明かしても「ネット上に明かされても信じられない」といつまでたっても文句たれるだよなー
大体、一方方向からの発言は自分の都合の良い事だけ書くからね。
「ソースは中の人」って最初に書けって話でしかないわだったら最初からヨタだとわかるのに
つまりお前が最初から愚か。
明確におかしい点が二つ。
まず第一に、XSS脆弱性を利用した場合に攻撃対象になるのはサイトやサイト管理者ではなく、書き込んだ情報を見るエンドユーザーだという点。なにしろ、実際に悪意あるスクリプトが実行されるのはサーバ上ではなく、エンドユーザーのブラウザ上です。ベネッセのWebサーバにはかすかなCPU負荷すら発生しないし、Webサーバ内のデータに不正にアクセスされることもありません。つまり、ベネッセ側はXSS脆弱性を放置しても、攻撃されることはありえないし、仮に何かが行われていたとしてもわかりません。
第二に、XSS脆弱性があるかどうかを調べるために攻撃をする必要はありません。具体的な動作を一切行わない中身が空っぽのスクリプトを投稿して、スクリプトタグが無効化されているかどうかを確認するだけで事足りるから。というか、確認のために何らかの攻撃を行うスクリプトを埋め込んでしまうと、確認時に自分が攻撃を受けてしまいます。なので、なにかしたとしても、せいぜいポップアップを出す程度の無害なもの以外にあり得ません。
ここまで理解していれば、↓が明らかな嘘であることはわかりますよね?
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
このコンテキストで「攻撃」は穴を使うこと自体でしょ。それこそXSS問題なら当然いえる前提あるいは推定可能事項。それを使ってくるアクセスがあるかをサイト側が監視してたら、当人が引っかかったって話だろう。監視している側からすれば本当に悪用しようとしているアクセスに対するノイズになるし少なくとも有害でしかない。あなたの「攻撃」の定義が技術的に影響を及ぼす直接的な対象のみに限っているのだろうけど、文の言わんとするところも読めず言葉じりをとらえて「明らかなウソ」とは、こりゃまた幼稚で尊大だなぁと思う次第。
ほうほう、なるほど。つまり、ベネッセは悪意ある動作を何一つ行わない何の変哲もない書き込みを「攻撃」だと称して、本人に事前通達もなくプロバイダにサービスを停止するように要求したというわけですね。
まあ、中の人、もしくはあなたが嘘をついていなければ、の話ですけどね。
ところで、Masato Kinugawa氏のブログの今回の件のエントリによれば、ベネッセさんが不正アクセス情報の取り下げを行ったそうですよ。攻撃されたというのに不思議なことですね(笑)
氏の追記から察するに「ベネッセが大タコ」「ISPもタコ」だったみたいですね。ベネッセは「攻撃」されていたが、氏ではない誰かが真犯人で、第三者の口添えで誤解が解けた模様。本件で最も気懸かりなのは、ISPにどういう要求をしたら誤認逮捕…じゃなく誤認接続停止するかですね。
絶対ACとか言いつつ書いたらツッコミされまくって悔しかったのはわかるけど>文の言わんとするところも読めずと言うのはまともな内容の文章を書いてから言って下さいね
指摘とわかりやすい解説ありがとうございます。(#2458893 様も。)私はWeb方面は門外漢なので助かります。その上で「明らかな嘘」かどうかは保留かなーと思っています。Kinugawa氏が経過を書いてくれていて「僕のアクセスであることが確認できた」ということでご提示の「第二」についてログが残る何かをされていたのかな、と予想。「攻撃し続け」と認識してた話とも合致しますし。XSS以外が問題だった可能性も。(調べてないので適当な予想ですよ)
私も外野ですし解消方向ということでウォッチしてませんでした。回答おそくてすみませんでした。
以下、ほかのレスへの反応です。
意味が分からん。XSSの攻撃シナリオでは、XSSの細工をされたURLへアクセスをするのは、「攻撃者」じゃなくて「被害者」でしょ?その理屈からなんで、「被害者」をブロックする対策を行ったの?
っていうかXSSのアクセスが大量にあったって、それは既にXSSを使った攻撃シナリオに組み込まれていて、細工したURLが掲示版とかに貼られているからだったりしないの?「既に攻撃者にサーバを利用されている状態」だったりしないの?
XSSのURLへアクセスしてきたIPアドレスが全て同一で、それがこの人のIPアドレスだった、ということなんだろうか?
# ソースも何もなく「中の人に聞いた」って書き込みを真に受けても仕方ないけど# 反論があるなら、そのうちベネッセのサイトに掲載されるかもね
それって単なる攻撃者やん
業務妨害かなにかで刑事告訴するべき
発見者としては直したかどうかまで確認して、まだ直ってませんよという必要がありますから、スキャンし続けるでしょう。blogで私のブラウザのアラートがどうのと言っているので、自動的にスキャンしているのかもしれません。
直す方からしたら、ひたすらスキャンし続けられればなんだか怪しいのでとりあえずISPに言っておこうとなるでしょうね。
お互いに最後まで丁寧にやり取りすれば、すれ違いもなかったのにね。
現実世界はコナンくんや金田一少年のおはなしじゃないんだから。当事者に引き渡したら引っ込んでよ。
ブラウザのアラートって
Alert("test")
のことだと思うのですが。
「攻撃」ってベネッセに対してだよね?XSSで何をどうしたらサービス元を攻撃できるのかそのソースの人に聞いてきてよ
別ACだけどお前は何と戦ってるのだ?その戦いで得るものはあるのか?
もしソースを明かし裏取りが出来て「正しい情報だった」以外にあなたに得るものがあれば教えてほしいものですなー
XSSでサービス提供元に攻撃が可能であるという新たなセキュリティ・ホールが発見された可能性がありますので事実なら大いにメリットがあります。
なんでそんなケンカ腰なのかはよくわかりませんが、強いていえば出所のよくわからん噂話が蔓延して話がゴチャゴチャになる状態と戦ってます。「迷惑行為してたんだってよ。中の人に聞いた。AC」(スコア:2, 参考になる)ってやっぱりちょっとおかしいと思います。
(スコア:∞, 真実である)
って書いてるわけじゃないんだから、何もおかしくないでしょうよ。「参考になる」ってのは、嘘の確率何%、真実の確率何%ってのが人の視点によって変わることを前提として
真実の確率≧0
って言う意味でしょ(これはこれで勝手な考えなのは承知)。あなたが
真実の確率=0
と考えようがどうしようが、全体としてある程度は参考になるでしょう。
信頼するソースを集めて整理したいというのは自由!でも、それは自分でエディタ開いてその上でやればいいんです。(エリナおばあちゃん風)
「『参考になる』ってのは~」以降の御説は、正直何をおっしゃってるのかよくわかりません…。あらゆる文章が真実の確率≧0である以上、何でも参考になるってことですか?まあ勝手な考えとおっしゃってますし、それはオッカム的に切り捨てさせてもらいます。
そうすると結局、元コメの主張ままです。匿名で水増しされた噂話を高スコアで優先表示する状況はおかしいし、いちいち記事ごとにエディタ開いて整理する殊勝な趣味もありませんので、今後の記事が少しでも流し読みしやすくなるようにモデレータを挑発してるんですよ。
通報後に・穴がふさがっているか?・ほかの穴もないか?確認してるだけでしょ
通報したのに対応してなかったら最悪の企業だから
止めろと言われたのにやってたとしたら「確認」ではないよな頭おかしいとしか言いようがない
止めろと言っていない可能性。「対策が終わるまで待て」は脆弱性の公表や催促を待てという意図は伝わるが、確認やその他一切のアクセスを中断しろとは取りづらい。「現在対策作業中です、しばらくお待ちください。また、それに先立ちアラートルールに追加するのでXSS試行を中断して下さい」なら伝わる。対策開始との返答を持って確認をやめても良いほど一般企業のセキュリティ意識はセキュリティ屋に信用されていない。
そもそも脆弱性の規模によっては修正完了までサービス止めても良いくらいだし、アラートルール追加する位ならその場でドロップするルールを書かないとダメ。穴を塞がず穴に罠だけ仕掛けて通報するのはノーガード戦法と大差無いね。
何を止めろって話かをじっくり考えてみようか
クロスサイトスクリプティングって知ってる?
俺様は特別って意識があるのかもしれませんね。
前に外国で図書館のシステムの穴を見つけたのはいいが、ソフトベンダが修正を約束したにも関わらず、穴をつつき続けて学校当局からお咎め受けた人がいましたね。
小説だと第一発見者が犯人とかよくあるネタではありますが、攻撃と同じことされたら悪意があるかもしれない可能性は捨てられないですからね。
> ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、> この話題のひとは、通報後もはひたすら攻撃し続けたらしい。> 直してるから待って、というのは聞いてくれなかったようです。
ちょっと良く理解できないんですが、それでサーバ運営側に何らかの不利益があったんですか?Cross Site Scripting脆弱性を突いたところで、その攻撃対象は所詮「検証者自身」だったはずであり、(その脆弱性を公開すれば、悪意の第三者がサイト利用者を攻撃対象にすることが有り得ますが)同じ検証コードで何度それを突いたところで運営側には何の不利益も起きないと思います。
もしかして、アクセスログで目にする度に修正をせかされてるみたいでカチンと来た、みたいな感情的なお話?せっかくですから、中の人が@ITなどのメディアに登場して釈明すればいいんじゃないかな?
通報後、悪用されていないかログを検証監視するのは真っ当な対応ですが、そこで不用意に紛らわしいアクセスされると、やはりそれもチェックしないとダメですよね。大丈夫だろうとセキュリティホールを作ってたわけで、そのチェックに大丈夫だろうと穴開ける訳にはいきませんから。とすると、不用意にアクセスされるのは不利益にはなります。#ま、身から出た錆なんだし、とっとと停止して修正するべきではあるんですがね。
対策してたら、アクセスを禁止する意味がないでしょう。DoSなら分かりますが、XSSなんだし。
というか、これがもし本当に「中の人」の発言だったら、ベネッセの方がヤバい。せっかく教えてもらっても、生かす知識がないんじゃぁ……
a. ベネッセの担当者が糞過ぎて、「感情的不満でしかないもの」を正当化脚色して社外へ漏らしている。b. 担当ではない人間が、歪んだ愛社精神から伝聞を知ったかぶりで披露し、無知な知人ACが真に受けてしまっている。c. Masato Kinugawa氏の事が気に入らないACが、XSS脆弱性の何たるかも知らずに創作でテキトー言ってる。
さて、どれだろうか?大元コメント(#2458770)のAC氏がXSS脆弱性を理解してない事はほぼ確定だと思うので、氏の言う「調べてみた」については、虚偽であるか、全く不足しているかのどちらかだと言えるだろう。仮にAC氏が話を聞いたと言う「中の人」が実在していたとしても、このAC氏には、それがaパターンかbパターンかも区別できないはず。
# 相手が何を言ってるか理解できるだけの予習も無しに話だけ聴いて「調べてみた」とは、# 何処の全国紙記者様ですか?と言わざるを得ない。一般人はそんな雑な大口叩かない。
http://security.srad.jp/comments.pl?sid=611249&cid=2458816 [srad.jp]
攻撃者ではなく被害者の回線を停止させるマヌケな結果を招きそうですね。
http://security.srad.jp/comments.pl?sid=611249&cid=2458834 [srad.jp]
XSSの細工をされたURLへアクセスをするのは、「攻撃者」じゃなくて「被害者」でしょ?
http://security.srad.jp/comments.pl?sid=611249&cid=2458924 [srad.jp]
その攻撃者が細工したURLを踏んだ無関係の被害者が、ISPから遮断される羽目に陥っていたわけだよね。
↑このあたりのコメントも大元のAC氏には理解できんだろうから補足するけど、XSS脆弱性ってのは、「第三者がベネッセのふりをして、ベネッセのサイトの利用者を攻撃できる」脆弱性であって、「ベネッセのサイトそのものを攻撃できる」脆弱性ではないんだよね。だから、XSS脆弱性検証においてベネッセのサイトを攻撃する事はできない。ベネッセのサーバログには「サイトが攻撃されている」痕跡は無かったと推測できる。
# ベネッセ側の「攻撃された」と言う自己申告のみ(証拠なし)でISPが動いたことになるため、# 当然ながら、虚偽の「攻撃された」申告をしたと思われるベネッセだけでなく、# 確認せずに鵜呑みにしたISPも批判されて然るべき。
それにしても、大元にプラスモデ付いてるのが興味深い。良識あるモデレータ諸君が「晒し上げのために」この苦しいコメントにプラスしているとは思えないし、たぶん、ベネッセから本件の火消しを依頼された企業のスタッフ達が、あれを擁護する事が火消しになると勘違いしたのだろう。下手に目立つと、/.J以外に発言チャネルを持つ人達の目にも留まってしまうのにねぇ。そこはマイナスモデで沈めてしまうのが正解だよ。
仮にこのACの発言が事実だとして、XSS脆弱性に関してログを攻撃だとしてISPに提出しているようでは攻撃者ではなく被害者の回線を停止させるマヌケな結果を招きそうですね。
通報後もはひたすら攻撃し続けたらしい。
XSSの検査が攻撃?XSSのチェック方法分かってる?普通のフォームにエンコードしなければいけない文字を入力するだけだよ。サーバー側に脆弱性が無ければ普通のユーザーがWebサイトに入力してるのとなんら違いはない。攻撃というかただの普通のアクセスだぞ。
# お前は徳丸氏 [tokumaru.org]がメール入力画面でメアド入力したら攻撃だ!と騒ぐのかw ※氏のメアドは 'or'1'='1'--@個人ドメイン
それ初耳。実際にやる人がいるとは。
http://xkcd.com/327/ [xkcd.com]
>この話題のひとは、通報後もはひたすら攻撃し続けたらしい。>直してるから待って、というのは聞いてくれなかったようです。
XSSの細工をされたURLでアクセスされたことで、何か問題あるの?本当の攻撃だとしても、サーバには実害ないはずだけど。それとも他にも深刻な脆弱性があって、そっちは黙ってるだけ?
>遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。>つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
引っかかったのが本人で、本当に良かったね。もし、この人より先にXSS脆弱性に気が付いていて悪用している攻撃者がいたら、その攻撃者が細工したURLを踏んだ無関係の被害者が、ISPから遮断される羽目に陥っていたわけだよね。いや~、本当に良かった。
何を持って攻撃と言ってるのか知らないけど、「攻撃」が続いたという事は何らかのリスクや被害が生じたという事ですよね。どんなリスクや被害が生じたのか説明できますか?
SQLインジェクションなら「データベース覗こうとした」DoSなら「サービス妨害しようとした」と言えるでしょう。XSSは何が問題ですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
確認してみた (スコア:1, 参考になる)
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。
つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
Re:確認してみた (スコア:3, すばらしい洞察)
調べたんならソースも貼ってくださいよ。
通報後もひたすら攻撃し続けたって本当ですか?
Re: (スコア:0)
察してあげようよ。
今回の話で公の場で発言できない立場の人でしょ。
あまりにブログのほうが一方的に自分に有利な情報しか書いていないので悔しくて、第三者が調べて書いたという形式で真実を語るしかなかったと。
Re: (スコア:0)
何を根拠に『真実』なんていいだすのやら。
ちなみに、私は○○o○の関係者とおぼしき人を幾人か知ってますが、
この話を聞いても驚きはありませんでした。
さもありなん、という感じです。
と書いたところで、検証できないでしょ?
Re: (スコア:0)
どっちも噂話レベルの信憑性しかない。
朝日、産経、日経あたりがこの噂話を記事で紹介して、2chとか./とかで新聞ソースの記事といって紹介するのがよくあるソースロンダリングの流れ。
Re: (スコア:0)
それが ”調べた” ですか。
Re: (スコア:0)
説得力があるかどうかは内容次第。
Re: (スコア:0)
本当に関係者に確認したものなのかどうかも分からないのだから、意味無し。
Re: (スコア:0)
Re: (スコア:0)
なら、自分で調査しな!
(#2458791) は親切に調査方法をあかし「与太話、噂話とおもってもらうほかないわ」とまで言っているのに例を言うどころか文句たれてるんだから、知りたいことがあるなら自分で何とかしてみるんだね
この手の輩は、明確なソースを明かしても「ネット上に明かされても信じられない」といつまでたっても文句たれるだよなー
Re: (スコア:0)
大体、一方方向からの発言は自分の都合の良い事だけ書くからね。
Re: (スコア:0)
「ソースは中の人」って最初に書けって話でしかないわ
だったら最初からヨタだとわかるのに
つまりお前が最初から愚か。
Re:確認してみた (スコア:2)
明確におかしい点が二つ。
まず第一に、XSS脆弱性を利用した場合に攻撃対象になるのはサイトやサイト管理者ではなく、書き込んだ情報を見るエンドユーザーだという点。
なにしろ、実際に悪意あるスクリプトが実行されるのはサーバ上ではなく、エンドユーザーのブラウザ上です。ベネッセのWebサーバにはかすかなCPU負荷すら発生しないし、Webサーバ内のデータに不正にアクセスされることもありません。
つまり、ベネッセ側はXSS脆弱性を放置しても、攻撃されることはありえないし、仮に何かが行われていたとしてもわかりません。
第二に、XSS脆弱性があるかどうかを調べるために攻撃をする必要はありません。具体的な動作を一切行わない中身が空っぽのスクリプトを投稿して、スクリプトタグが無効化されているかどうかを確認するだけで事足りるから。
というか、確認のために何らかの攻撃を行うスクリプトを埋め込んでしまうと、確認時に自分が攻撃を受けてしまいます。なので、なにかしたとしても、せいぜいポップアップを出す程度の無害なもの以外にあり得ません。
ここまで理解していれば、↓が明らかな嘘であることはわかりますよね?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
このコンテキストで「攻撃」は穴を使うこと自体でしょ。それこそXSS問題なら当然いえる前提あるいは推定可能事項。
それを使ってくるアクセスがあるかをサイト側が監視してたら、当人が引っかかったって話だろう。
監視している側からすれば本当に悪用しようとしているアクセスに対するノイズになるし少なくとも有害でしかない。
あなたの「攻撃」の定義が技術的に影響を及ぼす直接的な対象のみに限っているのだろうけど、
文の言わんとするところも読めず言葉じりをとらえて「明らかなウソ」とは、こりゃまた幼稚で尊大だなぁと思う次第。
Re:確認してみた (スコア:2)
ほうほう、なるほど。
つまり、ベネッセは悪意ある動作を何一つ行わない何の変哲もない書き込みを「攻撃」だと称して、本人に事前通達もなくプロバイダにサービスを停止するように要求したというわけですね。
まあ、中の人、もしくはあなたが嘘をついていなければ、の話ですけどね。
ところで、Masato Kinugawa氏のブログの今回の件のエントリによれば、ベネッセさんが不正アクセス情報の取り下げを行ったそうですよ。
攻撃されたというのに不思議なことですね(笑)
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:確認してみた (スコア:2)
その場合、「ベネッセが大タコ」「ISPもタコ」ついでに「元コメ者もそんなことにも気づかない小タコ」
になるだけですので
「元コメがウソ」だけですむソリッドファイターの人の解釈はむしろ人への信頼と優しさに溢れていると思います。
Re: (スコア:0)
氏の追記から察するに「ベネッセが大タコ」「ISPもタコ」だったみたいですね。
ベネッセは「攻撃」されていたが、氏ではない誰かが真犯人で、第三者の口添えで誤解が解けた模様。
本件で最も気懸かりなのは、ISPにどういう要求をしたら誤認逮捕…じゃなく誤認接続停止するかですね。
Re: (スコア:0)
絶対ACとか言いつつ書いたらツッコミされまくって悔しかったのはわかるけど
>文の言わんとするところも読めず
と言うのはまともな内容の文章を書いてから言って下さいね
Re: (スコア:0)
指摘とわかりやすい解説ありがとうございます。(#2458893 様も。)私はWeb方面は門外漢なので助かります。
その上で「明らかな嘘」かどうかは保留かなーと思っています。
Kinugawa氏が経過を書いてくれていて「僕のアクセスであることが確認できた」ということで
ご提示の「第二」についてログが残る何かをされていたのかな、と予想。
「攻撃し続け」と認識してた話とも合致しますし。
XSS以外が問題だった可能性も。(調べてないので適当な予想ですよ)
私も外野ですし解消方向ということでウォッチしてませんでした。回答おそくてすみませんでした。
以下、ほかのレスへの反応です。
Re:確認してみた (スコア:1)
意味が分からん。
XSSの攻撃シナリオでは、XSSの細工をされたURLへアクセスをするのは、
「攻撃者」じゃなくて「被害者」でしょ?
その理屈からなんで、「被害者」をブロックする対策を行ったの?
っていうかXSSのアクセスが大量にあったって、それは既に
XSSを使った攻撃シナリオに組み込まれていて、細工したURLが
掲示版とかに貼られているからだったりしないの?
「既に攻撃者にサーバを利用されている状態」だったりしないの?
XSSのURLへアクセスしてきたIPアドレスが全て同一で、
それがこの人のIPアドレスだった、ということなんだろうか?
# ソースも何もなく「中の人に聞いた」って書き込みを真に受けても仕方ないけど
# 反論があるなら、そのうちベネッセのサイトに掲載されるかもね
Re: (スコア:0)
それって単なる攻撃者やん
業務妨害かなにかで刑事告訴するべき
Re: (スコア:0)
発見者としては直したかどうかまで確認して、まだ直ってませんよという必要がありますから、スキャンし続けるでしょう。
blogで私のブラウザのアラートがどうのと言っているので、自動的にスキャンしているのかもしれません。
直す方からしたら、ひたすらスキャンし続けられればなんだか怪しいのでとりあえずISPに言っておこうとなるでしょうね。
お互いに最後まで丁寧にやり取りすれば、すれ違いもなかったのにね。
ないだろ (スコア:0)
現実世界はコナンくんや金田一少年のおはなしじゃないんだから。
当事者に引き渡したら引っ込んでよ。
Re: (スコア:0)
ブラウザのアラートって
Alert("test")
のことだと思うのですが。
Re: (スコア:0)
「攻撃」ってベネッセに対してだよね?
XSSで何をどうしたらサービス元を攻撃できるのかそのソースの人に聞いてきてよ
Re: (スコア:0)
別ACだけどお前は何と戦ってるのだ?
その戦いで得るものはあるのか?
もしソースを明かし裏取りが出来て「正しい情報だった」以外にあなたに得るものがあれば教えてほしいものですなー
Re: (スコア:0)
XSSでサービス提供元に攻撃が可能であるという
新たなセキュリティ・ホールが発見された可能性がありますので事実なら大いにメリットがあります。
Re: (スコア:0)
なんでそんなケンカ腰なのかはよくわかりませんが、強いていえば
出所のよくわからん噂話が蔓延して話がゴチャゴチャになる状態と戦ってます。
「迷惑行為してたんだってよ。中の人に聞いた。AC」(スコア:2, 参考になる)
ってやっぱりちょっとおかしいと思います。
Re: (スコア:0)
(スコア:∞, 真実である)
って書いてるわけじゃないんだから、何もおかしくないでしょうよ。
「参考になる」ってのは、嘘の確率何%、真実の確率何%ってのが人の視点によって変わることを前提として
真実の確率≧0
って言う意味でしょ(これはこれで勝手な考えなのは承知)。あなたが
真実の確率=0
と考えようがどうしようが、全体としてある程度は参考になるでしょう。
信頼するソースを集めて整理したいというのは自由!
でも、それは自分でエディタ開いてその上でやればいいんです。(エリナおばあちゃん風)
Re: (スコア:0)
「『参考になる』ってのは~」以降の御説は、正直何をおっしゃってるのかよくわかりません…。
あらゆる文章が真実の確率≧0である以上、何でも参考になるってことですか?
まあ勝手な考えとおっしゃってますし、それはオッカム的に切り捨てさせてもらいます。
そうすると結局、元コメの主張ままです。
匿名で水増しされた噂話を高スコアで優先表示する状況はおかしいし、
いちいち記事ごとにエディタ開いて整理する殊勝な趣味もありませんので、
今後の記事が少しでも流し読みしやすくなるようにモデレータを挑発してるんですよ。
Re: (スコア:0)
通報後に
・穴がふさがっているか?
・ほかの穴もないか?
確認してるだけでしょ
通報したのに対応してなかったら最悪の企業だから
Re: (スコア:0)
止めろと言われたのにやってたとしたら「確認」ではないよな
頭おかしいとしか言いようがない
Re: (スコア:0)
止めろと言っていない可能性。
「対策が終わるまで待て」は脆弱性の公表や催促を待てという意図は伝わるが、
確認やその他一切のアクセスを中断しろとは取りづらい。
「現在対策作業中です、しばらくお待ちください。また、それに先立ちアラートルールに追加するのでXSS試行を中断して下さい」
なら伝わる。
対策開始との返答を持って確認をやめても良いほど一般企業のセキュリティ意識はセキュリティ屋に信用されていない。
そもそも脆弱性の規模によっては修正完了までサービス止めても良いくらいだし、アラートルール追加する位ならその場でドロップするルールを書かないとダメ。
穴を塞がず穴に罠だけ仕掛けて通報するのはノーガード戦法と大差無いね。
Re: (スコア:0)
何を止めろって話かをじっくり考えてみようか
クロスサイトスクリプティングって知ってる?
Re: (スコア:0)
俺様は特別って意識があるのかもしれませんね。
前に外国で図書館のシステムの穴を見つけたのはいいが、
ソフトベンダが修正を約束したにも関わらず、穴をつつき続けて学校当局からお咎め受けた人がいましたね。
小説だと第一発見者が犯人とかよくあるネタではありますが、
攻撃と同じことされたら悪意があるかもしれない可能性は捨てられないですからね。
正直眉唾物なお話ですが (スコア:0)
> ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
> この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
> 直してるから待って、というのは聞いてくれなかったようです。
ちょっと良く理解できないんですが、それでサーバ運営側に何らかの不利益があったんですか?
Cross Site Scripting脆弱性を突いたところで、その攻撃対象は所詮「検証者自身」だったはずであり、
(その脆弱性を公開すれば、悪意の第三者がサイト利用者を攻撃対象にすることが有り得ますが)
同じ検証コードで何度それを突いたところで運営側には何の不利益も起きないと思います。
もしかして、アクセスログで目にする度に修正をせかされてるみたいでカチンと来た、みたいな感情的なお話?
せっかくですから、中の人が@ITなどのメディアに登場して釈明すればいいんじゃないかな?
Re: (スコア:0)
通報後、悪用されていないかログを検証監視するのは真っ当な対応ですが、そこで不用意に紛らわしいアクセスされると、やはりそれもチェックしないとダメですよね。
大丈夫だろうとセキュリティホールを作ってたわけで、そのチェックに大丈夫だろうと穴開ける訳にはいきませんから。
とすると、不用意にアクセスされるのは不利益にはなります。
#ま、身から出た錆なんだし、とっとと停止して修正するべきではあるんですがね。
Re: (スコア:0)
対策してたら、アクセスを禁止する意味がないでしょう。DoSなら分かりますが、XSSなんだし。
というか、これがもし本当に「中の人」の発言だったら、ベネッセの方がヤバい。せっかく教えてもらっても、生かす知識がないんじゃぁ……
Re:正直眉唾物なお話ですが (スコア:1)
というか、これがもし本当に「中の人」の発言だったら、ベネッセの方がヤバい。せっかく教えてもらっても、生かす知識がないんじゃぁ……
a. ベネッセの担当者が糞過ぎて、「感情的不満でしかないもの」を正当化脚色して社外へ漏らしている。
b. 担当ではない人間が、歪んだ愛社精神から伝聞を知ったかぶりで披露し、無知な知人ACが真に受けてしまっている。
c. Masato Kinugawa氏の事が気に入らないACが、XSS脆弱性の何たるかも知らずに創作でテキトー言ってる。
さて、どれだろうか?
大元コメント(#2458770)のAC氏がXSS脆弱性を理解してない事はほぼ確定だと思うので、
氏の言う「調べてみた」については、虚偽であるか、全く不足しているかのどちらかだと言えるだろう。
仮にAC氏が話を聞いたと言う「中の人」が実在していたとしても、このAC氏には、
それがaパターンかbパターンかも区別できないはず。
# 相手が何を言ってるか理解できるだけの予習も無しに話だけ聴いて「調べてみた」とは、
# 何処の全国紙記者様ですか?と言わざるを得ない。一般人はそんな雑な大口叩かない。
http://security.srad.jp/comments.pl?sid=611249&cid=2458816 [srad.jp]
攻撃者ではなく被害者の回線を停止させるマヌケな結果を招きそうですね。
http://security.srad.jp/comments.pl?sid=611249&cid=2458834 [srad.jp]
XSSの細工をされたURLへアクセスをするのは、「攻撃者」じゃなくて「被害者」でしょ?
http://security.srad.jp/comments.pl?sid=611249&cid=2458924 [srad.jp]
その攻撃者が細工したURLを踏んだ無関係の被害者が、ISPから遮断される羽目に陥っていたわけだよね。
↑このあたりのコメントも大元のAC氏には理解できんだろうから補足するけど、XSS脆弱性ってのは、
「第三者がベネッセのふりをして、ベネッセのサイトの利用者を攻撃できる」脆弱性であって、
「ベネッセのサイトそのものを攻撃できる」脆弱性ではないんだよね。
だから、XSS脆弱性検証においてベネッセのサイトを攻撃する事はできない。
ベネッセのサーバログには「サイトが攻撃されている」痕跡は無かったと推測できる。
# ベネッセ側の「攻撃された」と言う自己申告のみ(証拠なし)でISPが動いたことになるため、
# 当然ながら、虚偽の「攻撃された」申告をしたと思われるベネッセだけでなく、
# 確認せずに鵜呑みにしたISPも批判されて然るべき。
それにしても、大元にプラスモデ付いてるのが興味深い。
良識あるモデレータ諸君が「晒し上げのために」この苦しいコメントにプラスしているとは思えないし、
たぶん、ベネッセから本件の火消しを依頼された企業のスタッフ達が、
あれを擁護する事が火消しになると勘違いしたのだろう。
下手に目立つと、/.J以外に発言チャネルを持つ人達の目にも留まってしまうのにねぇ。
そこはマイナスモデで沈めてしまうのが正解だよ。
Re: (スコア:0)
仮にこのACの発言が事実だとして、XSS脆弱性に関してログを攻撃だとしてISPに提出しているようでは
攻撃者ではなく被害者の回線を停止させるマヌケな結果を招きそうですね。
Re: (スコア:0)
通報後もはひたすら攻撃し続けたらしい。
XSSの検査が攻撃?XSSのチェック方法分かってる?普通のフォームにエンコードしなければいけない文字を入力するだけだよ。
サーバー側に脆弱性が無ければ普通のユーザーがWebサイトに入力してるのとなんら違いはない。
攻撃というかただの普通のアクセスだぞ。
# お前は徳丸氏 [tokumaru.org]がメール入力画面でメアド入力したら攻撃だ!と騒ぐのかw ※氏のメアドは 'or'1'='1'--@個人ドメイン
Re:確認してみた (スコア:2)
それ初耳。実際にやる人がいるとは。
http://xkcd.com/327/ [xkcd.com]
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re: (スコア:0)
>この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
>直してるから待って、というのは聞いてくれなかったようです。
XSSの細工をされたURLでアクセスされたことで、何か問題あるの?
本当の攻撃だとしても、サーバには実害ないはずだけど。
それとも他にも深刻な脆弱性があって、そっちは黙ってるだけ?
>遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。
>つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
引っかかったのが本人で、本当に良かったね。
もし、この人より先にXSS脆弱性に気が付いていて悪用している攻撃者がいたら、
その攻撃者が細工したURLを踏んだ無関係の被害者が、ISPから遮断される羽目に
陥っていたわけだよね。
いや~、本当に良かった。
Re: (スコア:0)
何を持って攻撃と言ってるのか知らないけど、「攻撃」が続いたという事は
何らかのリスクや被害が生じたという事ですよね。
どんなリスクや被害が生じたのか説明できますか?
SQLインジェクションなら「データベース覗こうとした」
DoSなら「サービス妨害しようとした」と言えるでしょう。
XSSは何が問題ですか?