アカウント名:
パスワード:
氏のブログで、
>そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。僕のブラウザでアラートがでなくなるだけです。
と書いてありますけど、”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、中の人は徹夜とかだったのかもしれませんね。
そんなんでエラーが大量に発生なんて自業自得としか思えないんですが。というかいずれにせよその人をBANしても何の解決にもならないですよ。
>というかいずれにせよその人をBANしても何の解決にもならないですよ。
は・ら・い・せにはなるね(滝クリ風に
『SQLインジェクションができない女をアピールせよ』 [hatena.ne.jp]ですね。
「……だって、……だって、SQLインジェクションみたいな重大な脆弱性が見つかったらすぐに対応しないといけないじゃないですかぁっ! 開発者がかわいそですぅ! まだ他の案件終わってないのにぃぃ〜(悲)。髪もトイレで切っているんですよ……」
wikipediaレベルでも十分なのでXSSってものを調べてみては
> 中の人は徹夜徹夜すれば、今回のような無茶苦茶な対応が許されるとでも?
XSSって、攻撃者が指定した文字列を、細工したURLをクリックした人のブラウザ上で表示させるだけでしょ?それがなんで
>”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、>中の人は徹夜とかだったのかもしれませんね。
って話になるのか理解できないんですが、誰か説明してくれませんか。OSコマンドインジェクションと混同してません?
XSSを使ってサーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツをブラウザ上に表示するだけですよ.
XSSされた時点で"中の人"は負けている訳で,被害状況の調査や抜本的対処等で忙しくなるのはまあ良くある話だと思います.
> XSSを使って> サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを> ブラウザ上に表示するだけですよ.
氏にはサーバに負荷をかける意図はなかったわけですが、そういったことは意図せずに引き起こされるものでしょうか?
>XSSを使って>サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを>ブラウザ上に表示するだけですよ.
XSSを使う必要性が微塵も分からないんですが。それは攻撃者自身が、エラーが大量発生するように細工したURLにアクセスすれば良いんじゃないですか?そしてそれは、XSSではありません。
第一そんな脆弱性があるんなら、今すぐサイトを停止して、修正できるまで閉鎖するべきだと思います。その脆弱性を使ってDB内の顧客情報を抜かれかねませんから。
なぜこんな簡単な説明が、マイナスモデなんだろう?
ユーザーサイドの被害者のOSの話であって、自称被害者のベネッセのOSの話してねえからだろ
XSSは、ユーザーの入力した値をサーバーがきちんとエスケープしないでHTML内へ埋め込むことが原因となり、JavaScriptが実行されてしまう等の脆弱性です。当該ページが開かれたとき、攻撃者の用意した悪意のあるJavaScriptが自動的に実行されたり、ページ内容が改竄されるようなことがあっては困るわけですから。
しかしながら「悪意のあるJavaScript」は、サーバーにとっては単なる文字列にすぎません(ユーザー名だったり、コメントだったり)。したがってXSS自体は、サーバー側に内部エラーを発生させるような類のものではないのです。
この一連の流れを見て
件の人:XSSが修正されたかどうかを確認するために、自動的にアラートを埋め込むようなスクリプトを実行する。↓ベネッセの中の人:アラートの埋め込まれたデータを発見し、問題だ!と埋め込まれたデータ自体を削除する。
の繰り返しをベネッセの中の人が徹夜で行っていたという妄想が浮かんだ。
タコなアクセス解析ソフト使ってると中の人の所でもアラート発生の可能性がw#XSSにも永続性(不揮発性?)のがあるんだけど、なんでそうじゃない前提なんだろう?と思う。
ああ、それで、「社内アクセス専用の管理サイトが汚染されている!スーパーハッカーの攻撃だ!!」ってなっちゃったのですね
それを書いちゃったら今度はベネッセに[具体的な攻撃手法を公開するとか何たることだ!]と訴えられますよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
内部で異常がおこっていたかも (スコア:0)
氏のブログで、
>そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。僕のブラウザでアラートがでなくなるだけです。
と書いてありますけど、”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、中の人は徹夜とかだったのかもしれませんね。
Re:内部で異常がおこっていたかも (スコア:1)
そんなんでエラーが大量に発生なんて自業自得としか思えないんですが。
というかいずれにせよその人をBANしても何の解決にもならないですよ。
Re:内部で異常がおこっていたかも (スコア:1)
>というかいずれにせよその人をBANしても何の解決にもならないですよ。
は・ら・い・せ
にはなるね(滝クリ風に
なんて優しい天使のようなコなんだろう! (スコア:1)
『SQLインジェクションができない女をアピールせよ』 [hatena.ne.jp]ですね。
「……だって、……だって、SQLインジェクションみたいな重大な脆弱性が見つかったらすぐに対応しないといけないじゃないですかぁっ! 開発者がかわいそですぅ! まだ他の案件終わってないのにぃぃ〜(悲)。髪もトイレで切っているんですよ……」
Re:内部で異常がおこっていたかも (スコア:1)
wikipediaレベルでも十分なのでXSSってものを調べてみては
Re: (スコア:0)
> 中の人は徹夜
徹夜すれば、今回のような無茶苦茶な対応が許されるとでも?
Re: (スコア:0)
XSSって、攻撃者が指定した文字列を、細工したURLをクリックした人の
ブラウザ上で表示させるだけでしょ?
それがなんで
>”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、
>中の人は徹夜とかだったのかもしれませんね。
って話になるのか理解できないんですが、誰か説明してくれませんか。
OSコマンドインジェクションと混同してません?
Re:内部で異常がおこっていたかも (スコア:2)
XSSを使って
サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを
ブラウザ上に表示するだけですよ.
XSSされた時点で"中の人"は負けている訳で,被害状況の調査や抜本的対処等で忙しくなるのはまあ良くある話だと思います.
Re: (スコア:0)
> XSSを使って
> サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを
> ブラウザ上に表示するだけですよ.
氏にはサーバに負荷をかける意図はなかったわけですが、
そういったことは意図せずに引き起こされるものでしょうか?
Re: (スコア:0)
>XSSを使って
>サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを
>ブラウザ上に表示するだけですよ.
XSSを使う必要性が微塵も分からないんですが。
それは攻撃者自身が、エラーが大量発生するように細工したURLに
アクセスすれば良いんじゃないですか?
そしてそれは、XSSではありません。
第一そんな脆弱性があるんなら、今すぐサイトを停止して、
修正できるまで閉鎖するべきだと思います。
その脆弱性を使ってDB内の顧客情報を抜かれかねませんから。
Re: (スコア:0)
なぜこんな簡単な説明が、マイナスモデなんだろう?
Re: (スコア:0)
ユーザーサイドの被害者のOSの話であって、自称被害者のベネッセのOSの話してねえからだろ
Re: (スコア:0)
XSSは、ユーザーの入力した値をサーバーがきちんとエスケープしないでHTML内へ埋め込むことが原因となり、JavaScriptが実行されてしまう等の脆弱性です。
当該ページが開かれたとき、攻撃者の用意した悪意のあるJavaScriptが自動的に実行されたり、ページ内容が改竄されるようなことがあっては困るわけですから。
しかしながら「悪意のあるJavaScript」は、サーバーにとっては単なる文字列にすぎません(ユーザー名だったり、コメントだったり)。
したがってXSS自体は、サーバー側に内部エラーを発生させるような類のものではないのです。
Re: (スコア:0)
この一連の流れを見て
件の人:XSSが修正されたかどうかを確認するために、自動的にアラートを埋め込むようなスクリプトを実行する。
↓
ベネッセの中の人:アラートの埋め込まれたデータを発見し、問題だ!と埋め込まれたデータ自体を削除する。
の繰り返しをベネッセの中の人が徹夜で行っていたという妄想が浮かんだ。
Re:内部で異常がおこっていたかも (スコア:1)
タコなアクセス解析ソフト使ってると中の人の所でもアラート発生の可能性がw
#XSSにも永続性(不揮発性?)のがあるんだけど、なんでそうじゃない前提なんだろう?と思う。
Re: (スコア:0)
ああ、それで、
「社内アクセス専用の管理サイトが汚染されている!スーパーハッカーの攻撃だ!!」ってなっちゃったのですね
Re: (スコア:0)
XSSがあるようなウェブアプリでは入力チェックもろくにしていないと思うので、型の不整合やらサイズオーバーやらでエラーが発生する事態は大いにありうると思います。
例えば正常なルートでは数値が入るはずのパラメータにコード文字列を突っ込んでPOSTしたら、無邪気なウェブアプリではNumberFormatException的なものが発生する可能性が高いです。
# もちろん入力チェック漏れとXSS(出力時のエスケープ漏れ)は別の問題ですが、まあ前者をちゃんとやってるようなプロジェクトなら後者も当然対処しているでしょう・・・。
Re: (スコア:0)
それを書いちゃったら今度はベネッセに[具体的な攻撃手法を公開するとか何たることだ!]と訴えられますよ
Re: (スコア:0)