アカウント名:
パスワード:
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、この話題のひとは、通報後もはひたすら攻撃し続けたらしい。直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
明確におかしい点が二つ。
まず第一に、XSS脆弱性を利用した場合に攻撃対象になるのはサイトやサイト管理者ではなく、書き込んだ情報を見るエンドユーザーだという点。なにしろ、実際に悪意あるスクリプトが実行されるのはサーバ上ではなく、エンドユーザーのブラウザ上です。ベネッセのWebサーバにはかすかなCPU負荷すら発生しないし、Webサーバ内のデータに不正にアクセスされることもありません。つまり、ベネッセ側はXSS脆弱性を放置しても、攻撃されることはありえないし、仮に何かが行われていたとしてもわかりません。
第二に、XSS脆弱性があるかどうかを調べるために攻撃をする必要
指摘とわかりやすい解説ありがとうございます。(#2458893 様も。)私はWeb方面は門外漢なので助かります。その上で「明らかな嘘」かどうかは保留かなーと思っています。Kinugawa氏が経過を書いてくれていて「僕のアクセスであることが確認できた」ということでご提示の「第二」についてログが残る何かをされていたのかな、と予想。「攻撃し続け」と認識してた話とも合致しますし。XSS以外が問題だった可能性も。(調べてないので適当な予想ですよ)
私も外野ですし解消方向ということでウォッチしてませんでした。回答おそくてすみませんでした。
以下、ほかのレスへの反応です。「メディアに登場」は面白そうです。どこかの記者さんが取材に行けばノッてくると思いますよ。でもKinugawa氏から聞いたほうが、/.視線でよさそうかな。双方対談形式とかもいいかも。「不利益」攻撃を検知してるんですから、対応が。よそで自業自得と書かれてますけどね。「被害者をブロック?」は、違うんじゃないですか?ISPがブロックと判断できるような内容のログだったはずです。(鵜呑みにしてとにかくブロック、の可能性はありますが)
せっかくの事件なので、在野の善意ハッカーと商業が、どうすれ違ったのか、どう対話すると上手くいくのか、情報公開してほしいですよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
確認してみた (スコア:1, 参考になる)
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。
つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
Re: (スコア:2)
明確におかしい点が二つ。
まず第一に、XSS脆弱性を利用した場合に攻撃対象になるのはサイトやサイト管理者ではなく、書き込んだ情報を見るエンドユーザーだという点。
なにしろ、実際に悪意あるスクリプトが実行されるのはサーバ上ではなく、エンドユーザーのブラウザ上です。ベネッセのWebサーバにはかすかなCPU負荷すら発生しないし、Webサーバ内のデータに不正にアクセスされることもありません。
つまり、ベネッセ側はXSS脆弱性を放置しても、攻撃されることはありえないし、仮に何かが行われていたとしてもわかりません。
第二に、XSS脆弱性があるかどうかを調べるために攻撃をする必要
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:確認してみた (スコア:0)
指摘とわかりやすい解説ありがとうございます。(#2458893 様も。)私はWeb方面は門外漢なので助かります。
その上で「明らかな嘘」かどうかは保留かなーと思っています。
Kinugawa氏が経過を書いてくれていて「僕のアクセスであることが確認できた」ということで
ご提示の「第二」についてログが残る何かをされていたのかな、と予想。
「攻撃し続け」と認識してた話とも合致しますし。
XSS以外が問題だった可能性も。(調べてないので適当な予想ですよ)
私も外野ですし解消方向ということでウォッチしてませんでした。回答おそくてすみませんでした。
以下、ほかのレスへの反応です。
「メディアに登場」は面白そうです。どこかの記者さんが取材に行けばノッてくると思いますよ。
でもKinugawa氏から聞いたほうが、/.視線でよさそうかな。双方対談形式とかもいいかも。
「不利益」攻撃を検知してるんですから、対応が。よそで自業自得と書かれてますけどね。
「被害者をブロック?」は、違うんじゃないですか?
ISPがブロックと判断できるような内容のログだったはずです。(鵜呑みにしてとにかくブロック、の可能性はありますが)
せっかくの事件なので、在野の善意ハッカーと商業が、どうすれ違ったのか、どう対話すると上手くいくのか、情報公開してほしいですよね。