www.itmedia.co.jp/news/articles/0808/04/news021.html
◎予告.inにXSS攻撃
いつかはこういったことが起きると思っていた・・・
やっぱりきたか。そのうちに犯罪予告をproxyするウィルス群とかできそう
「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿 - ITmedia News
予告.inにXSS攻撃があり、アクセスすると「警視庁爆破する」という犯行予告スレッドを2chに投稿させる状態になっていた。
とはいえ、国がSIerに頼んで2億で作ると、かわりに「戻る」ボタンが使えないとかのガチガチのアレなアプリケーションにされそうな気が・・・
これは痛い。Webアプリはユーザ由来の文字列はすべて安全じゃないから、ちょっと油断するとすぐ脆弱性を突かれる/でも無償で提供してるサービスだからテストに多くのコストを掛けるのは難しいしなぁ・・・
初歩的な対策すら怠っていた模様
ウェブアプリのセキュリティ対策にはいくらかかりますか?(ヒント:●億円)
不正コード埋め込んだ人が予告犯として捕まるかどうか
「予告.in」にアクセスすることすら危険だったという事件。
サニタイズ言うな
はてぶコメント側にまったく2chのCSRF脆弱性に対するツッコミが無いのはなぜ? 外部サイトからスレ立てできちゃう穴じゃないの?
でも予告.inに直接行われたというのは、ポジティブにとらえていい気がする。他のサイトでやられたら……。正直、良いハプニングだった気がしてる。
「投稿欄のURL部分にエスケープ処理を行っていなかったため」なんと初歩的な・・・
これらの投稿が不正なコードによって行われ、投稿者本人の意志ではないことを連絡。へー。
此か騒いでいたのは...
危うく踏みに行くところだった。なんにせよ、「予告.in」に限らず、XSS対応はきちんとしとかないとな。/ 同じ攻撃を、例えば警視庁のサイトがくらったら、とかね。まぁ、警視庁はきちんと対応しているんだろうけど。
「投稿欄のURL部分にエスケープ処理(不正な文字列を無効化する処理)を行っていなかった」「不正なコード」という表現の後に書くと誤解を招く表現だな。
2時間でつくったと言っていたから、嫌な予感はしていたが…
ま、プログラマーの端くれとしては、「ドンマイ☆」としか言いようが…。しかしはまちちゃんならもっと気の利いたオモローなイタズラにしてくれただろうになぁ…。
投稿サイトなのにXSS対策なしか…安価な急造品だからといって危険すぎた。/総務省の予算が高かった意味が分かりましたか(笑) いや、さすがにアレは高すぎだとは思いますが。
エスケープ処理とか怠ってるのは意外。2時間で作った後にセキュリティをしっかりするためにパッチを当てる必要があるきがする
わざと脆弱にしていたのかもしれない(自ら仕掛けていない証明はしていない)し、そうすることによって社会を混乱させたかったのかもしれない。すかしっ屁ではないが、いくらでも犯行目的に妄想することは可能である
ほ~
これぞまさしく「ゼイジャックス アプリケーション」
まあめんどくさいもんな。
予告.in自体に仕込まれたわかりやすい仕掛けではなくて、もっと巧妙でわかりにくい方法で「犯行予告させられた」場合に、どう無実を証明すればいいのだろう?
まあ例え国が2億円かけたとしても脆弱性が無いわけじゃないだろうからな
敵に回すと面倒くさい奴等を敵に回しちゃった感があるな。予告的に....
2億掛かるかはともかく2時間だとやっぱりね…
「予告.in」なんかやめればいいのに。
エスケープ漏れのチェックとかするとやっぱり2億円ぐらいかかるんだね.
今後の成り行きが気になる。「必要があれば被害届を出したい」←被害届出さないと矢野氏の意志による警察/2chへの威力業務妨害とか言われる可能性ないのかなぁ。
不用意にこの手のアングラサイトを閲覧するのは危険
なんと雄弁なXSS。
今後予告.inの一般利用は限定的なものになっていくだろう。犯罪は容認できないしこういう形で終息するのは不本意だが結果オーライだ。
この件でほんの少し世の中が良くなったと本気で思っている
カウンターパンチ
エスケープ処理もないって、それはいくらなんでも。
うーん・・・。後で。
誰が予告を区別するのかを考えたときに、もはや通報は意味を成さないだろ。自分自身が証明してどうするんだか。
[PR]今話題のハプニングバーを紹介します
はてなブックマークの中から「これはひどい」エントリーを取り上げて、Digg風に表示したサイトです。より人の為になるこれはすごいバージョンもあります。
はてブで「これはひどい」タグを付けると投票としてカウントされ、コメントを書き込むとコメントとして反映されます。はてな認証APIによる投票にも対応しています。
コメント
www.itmedia.co.jp/news/articles/0808/04/news021.html
◎予告.inにXSS攻撃
いつかはこういったことが起きると思っていた・・・
やっぱりきたか。そのうちに犯罪予告をproxyするウィルス群とかできそう
「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿 - ITmedia News
予告.inにXSS攻撃があり、アクセスすると「警視庁爆破する」という犯行予告スレッドを2chに投稿させる状態になっていた。
とはいえ、国がSIerに頼んで2億で作ると、かわりに「戻る」ボタンが使えないとかのガチガチのアレなアプリケーションにされそうな気が・・・
これは痛い。Webアプリはユーザ由来の文字列はすべて安全じゃないから、ちょっと油断するとすぐ脆弱性を突かれる/でも無償で提供してるサービスだからテストに多くのコストを掛けるのは難しいしなぁ・・・
初歩的な対策すら怠っていた模様
ウェブアプリのセキュリティ対策にはいくらかかりますか?(ヒント:●億円)
不正コード埋め込んだ人が予告犯として捕まるかどうか
「予告.in」にアクセスすることすら危険だったという事件。
サニタイズ言うな
はてぶコメント側にまったく2chのCSRF脆弱性に対するツッコミが無いのはなぜ? 外部サイトからスレ立てできちゃう穴じゃないの?
でも予告.inに直接行われたというのは、ポジティブにとらえていい気がする。他のサイトでやられたら……。正直、良いハプニングだった気がしてる。
「投稿欄のURL部分にエスケープ処理を行っていなかったため」なんと初歩的な・・・
これらの投稿が不正なコードによって行われ、投稿者本人の意志ではないことを連絡。へー。
此か騒いでいたのは...
危うく踏みに行くところだった。なんにせよ、「予告.in」に限らず、XSS対応はきちんとしとかないとな。/ 同じ攻撃を、例えば警視庁のサイトがくらったら、とかね。まぁ、警視庁はきちんと対応しているんだろうけど。
「投稿欄のURL部分にエスケープ処理(不正な文字列を無効化する処理)を行っていなかった」「不正なコード」という表現の後に書くと誤解を招く表現だな。
2時間でつくったと言っていたから、嫌な予感はしていたが…
ま、プログラマーの端くれとしては、「ドンマイ☆」としか言いようが…。しかしはまちちゃんならもっと気の利いたオモローなイタズラにしてくれただろうになぁ…。
投稿サイトなのにXSS対策なしか…安価な急造品だからといって危険すぎた。/総務省の予算が高かった意味が分かりましたか(笑) いや、さすがにアレは高すぎだとは思いますが。
エスケープ処理とか怠ってるのは意外。2時間で作った後にセキュリティをしっかりするためにパッチを当てる必要があるきがする
わざと脆弱にしていたのかもしれない(自ら仕掛けていない証明はしていない)し、そうすることによって社会を混乱させたかったのかもしれない。すかしっ屁ではないが、いくらでも犯行目的に妄想することは可能である
ほ~
これぞまさしく「ゼイジャックス アプリケーション」
まあめんどくさいもんな。
予告.in自体に仕込まれたわかりやすい仕掛けではなくて、もっと巧妙でわかりにくい方法で「犯行予告させられた」場合に、どう無実を証明すればいいのだろう?
まあ例え国が2億円かけたとしても脆弱性が無いわけじゃないだろうからな
敵に回すと面倒くさい奴等を敵に回しちゃった感があるな。予告的に....
2億掛かるかはともかく2時間だとやっぱりね…
「予告.in」なんかやめればいいのに。
エスケープ漏れのチェックとかするとやっぱり2億円ぐらいかかるんだね.
今後の成り行きが気になる。「必要があれば被害届を出したい」←被害届出さないと矢野氏の意志による警察/2chへの威力業務妨害とか言われる可能性ないのかなぁ。
不用意にこの手のアングラサイトを閲覧するのは危険
なんと雄弁なXSS。
今後予告.inの一般利用は限定的なものになっていくだろう。犯罪は容認できないしこういう形で終息するのは不本意だが結果オーライだ。
この件でほんの少し世の中が良くなったと本気で思っている
カウンターパンチ
エスケープ処理もないって、それはいくらなんでも。
うーん・・・。後で。
誰が予告を区別するのかを考えたときに、もはや通報は意味を成さないだろ。自分自身が証明してどうするんだか。