予告.in、XSS攻撃を受け不正コードを埋め込まれる 116
ストーリー by hylom
陥りやすい罠 部門より
陥りやすい罠 部門より
Anonymous Coward曰く、
2ちゃんねるなどの掲示板を監視し、﹁犯行予告﹂を集積するシステム﹁予告.in﹂で、クロスサイトスクリプティング攻撃によって不正コードを埋め込まれていたことが判明した。
予告.inには、犯行予告を通報するフォームが用意されているが、そのフォームの一部︵具体的にはURL入力部分︶でエスケープ処理を行っておらず、その結果URL部分に悪意のあるコードを埋め込むことが可能になっていたのが原因とのことだ。
これにより、予告.inのトップにアクセスを行うと、2ちゃんねるに﹁警視庁を爆破する 嘘です﹂という犯行予告文を投稿してしまう、という現象が発生していたとのことだ。
入力データのサニタイズはセキュリティの基礎ではあるが、確かにURLは見逃しがちな個所ではありそうだ。/.erにはCGIやWebアプリケーションを作成されている方も多いとは思うが、入力されたデータのチェックはすべての項目について、忘れないで行ってほしいものだ。
サニタイズ言うな (スコア:4, 参考になる)
○出力データの適切なエスケープ
Re:サニタイズ言うな (スコア:1, おもしろおかしい)
Re:サニタイズ言うな (スコア:1, おもしろおかしい)
夏だし。
Re:サニタイズ言うな (スコア:1, おもしろおかしい)
「安全なウェブサイトの作り方」読めって (スコア:1)
「RDBMSに」「SQLを」「出力するとき」の話だよ。
Re:「安全なウェブサイトの作り方」読めって (スコア:1, すばらしい洞察)
Re:「安全なウェブサイトの作り方」読めって (スコア:1, 興味深い)
Re:サニタイズ言うな (スコア:1, すばらしい洞察)
今回はXSSであると申告されたからよかったものの (スコア:3, すばらしい洞察)
サイト管理者が申告しなかったり,そもそも放置されたまま動いているような
掲示板経由だったりすると濡れ衣を着せられた人はそれを証明する手段がないですよね・・・
屍体メモ [windy.cx]
Refererヘッダ (スコア:2)
それとも攻撃者の指定したRefererが送信されたのでしょうかね?
以前のFlash PlayerはActionScriptで任意のRefererを送信できたようですが それを悪用した攻撃だったのでしょうかね?
また 被害にあった可能性のある対象者 8/3 02:18~03:55に予告inトップにPCでアクセスした利用者。 更に、IE系の描画エンジンを実装したブラウザ(InternetExploler、Sleipnir等)を利用していたユーザ。 FireFox等では発動しないことを確認済みです。 とあるのも気になります。 IEのレンダリングエンジンのスクリプトやアプレットの実行部分に、任意のRefererを送信させる穴があるならば、 RefererをチェックするというCSRFの対策法は意味がなくなってしまいますし・・・
単なる臆病者の Anonymous Cat です。略してACです。
Re:Refererヘッダ (スコア:1)
Flash Playerに任意のRefererヘッダが送信できる脆弱性 [itmedia.co.jp]
掲示板側としては、セッション付きの書き込みの確認ページを挟むのが効果的でしょうね。
Re:Refererヘッダ (スコア:1)
IEのレンダリングエンジンを利用しているブラウザのみが被害を受けた可能性があるというのは
埋め込まれたHTMLタグが不正確なものだったみたいですし、それを無理やり解釈するIEの機能のおかげなのでしょうかね。
単なる臆病者の Anonymous Cat です。略してACです。
2chのリファラチェックは修正されたみたいです (スコア:1)
ミスなのか一部の2chブラウザのためにあえて緩くしてあったのかはわかりませんが とりあえず一安心といったところでしょうかね。
但し他にもチェックの甘い掲示板等もあるでしょうし、任意のRefererを送信させれるアプリやプラグインが無いとも言い切れないですから 完全に安心できないのも事実ですけど・・・
# 今回の騒ぎは、犯罪予告や人権侵害の書き込み者の個人情報の提供を義務付けるべきとかいうことの危険性がよくわかる事例ですね。
単なる臆病者の Anonymous Cat です。略してACです。
何の罪になる? (スコア:2, 興味深い)
犯罪でも犯罪でなくても、この際、﹁予告.in﹂が犯罪予告の通報だけ じゃなくてサイバー攻撃のハニーポット役になって、クラッカーを 捕まえるきっかけになって欲しいもんです。
-- う~ん、バッドノウハウ?
Re:何の罪になる? (スコア:1)
これによると、﹁アクセスはプログラムの脆弱︵ぜいじゃく︶性を利用したもので、管理者は想定もしていなかった。アクセス制御機能による﹃特定利用の制限﹄がかかっていたといえ、被告の行為は不正アクセスに当たる﹂とのことです。
どちらにしても、﹁XSSの脆弱性に対処してないほうが悪い。だから罪にはならないよー﹂とは日本人の倫理観では言えないと思う。カギが開いてたから空き巣に入りました、と同レベルに感じる。
Re:何の罪になる? (スコア:1)
ひょっとして、予告.inのトップに﹁サイバー攻撃もばんばん通報します﹂とか 書いて挑発してハニーポット化しようとした場合、サイバー攻撃の通報も 業務になったとみなされて、サイバー攻撃されても業務妨害にはならない? # ややこしい
-- う~ん、バッドノウハウ?
えー (スコア:1)
見逃している時点でエンジニアとしての力量が知れてしまいそうなものですが。
// 流石にこれはなぁ・・・(:>^
Re:えー (スコア:4, すばらしい洞察)
同情が先に来ます。
#お金をつぎ込んでバグが無くなれば世の中もっと平和でしょうね
Re:えー (スコア:5, おもしろおかしい)
Re:えー (スコア:1)
海原雄山しかいない美味しんぼの世界
Re:えー (スコア:1, すばらしい洞察)
毎日新聞より、まずはニュー速+に教えてあげるべきだろう
石を投げつけられる立場に回ったとき、どうするんだろうねww
Re:えー (スコア:1)
Re:えー (スコア:1)
データフローとか使えばできそうなものだと思うけど。
Re: (スコア:0)
Re:えー (スコア:4, おもしろおかしい)
Re:えー (スコア:1)
別にいいんじゃね? (スコア:0)
それより、セキュリティホールが見つかってすぐに対応したのは評価できると思うね。
最近は知らぬ存ぜぬで無視したり、不正アクセス防止法とやらで居直る奴ばっかりだから。
Re:別にいいんじゃね? (スコア:1, すばらしい洞察)
こんなのはあくまで個人サイトで個人のプログラムがこけたレベルの話でしか無いんだが、 そもそも公共性を前面に押し出して、既に何人もの人間の人生を﹁自らの手で﹂左右してる時点で、 もはやこれは公共物で、不備は叩かれてもしょうがないレベルだと思ってる。
センセーショナルに煽るだけではなく、もっと現実的な運用を目指せばここまで叩かれる事は無かったと思う。
Re:別にいいんじゃね? (スコア:1)
// 過去に何回の自称エンジニアの尻拭いさせられたことか。(:>^
Re:予告.inの性質にもよる (スコア:2, すばらしい洞察)
Re:予告.inの性質にもよる (スコア:2, すばらしい洞察)
Re: (スコア:0)
単なるヒューマンエラーじゃん
レビューなどのチェック体制の問題だね
Re:えー (スコア:3, すばらしい洞察)
責任の所在の不明瞭化を図るために
2億円ほどかかるんじゃないでしょうか
Re:えー (スコア:1)
// そこに突っ込むのは無粋かな、と思っただけなんですけどね(;>^
Re:えー (スコア:1)
xssが発生したといえど、この件においては﹁対策を忘れた﹂と報じられたことが最大の汚点です。 バグが存在したかどうかは問題じゃない。むしろ存在して当たり前。
// オフトピばっか(:>^
Re:えー (スコア:1, 興味深い)
ソースはこちら。 http://byokan.net/images/2008/yokoku/01.jpg
犯行予告の限界 (スコア:1)
っていう思考がもう限界なんじゃないだろうか。 それこそ便所の落書きとかチラシの裏に犯行予告が書いてあっても防ぎようもないし誰も咎めないでしょう。 ︵まぁ、家族が見れる状態なら家族が非難されるかもしれんけど︶ 犯行予告があっても放置、その後実際に犯罪があっても未然に防げなかったと騒ぐ必要無し、でいいんじゃないかと思いつつ、 実際に犯罪に遭遇するとそうとも言えないんだろうなぁ。
# 犯行予告スレに慰めるコメントを書き込むスクリプト作る方が効果あったりして
Re:犯行予告の限界 (スコア:1)
>限界の来るポイントは違ったと思うよ。
今回のXSSのような技術的問題についてなら限界の来るポイントは違ったかもしれないが、元コメントがあげてるようなスキームそのものが持つと思われる限界については「ちゃんとしたシステム」だからといってそう変わらないと思うよ。
うじゃうじゃ
Re:犯行予告の限界 (スコア:1)
それはれとして、どうせコメント書くならもっと内容のあるものにして欲しかったです。勝手な希望ですが。 これじゃ私が間違っているのかどうかすらわからないので寂しいです。
うじゃうじゃ
2時間の時点で (スコア:1)
と作者も考えて今頃チェックしてるんだろうなきっと。
Re:2時間の時点で (スコア:1, すばらしい洞察)
ま、即興プログラマに多い落とし穴ではないでしょうか。
Re:2時間の時点で (スコア:1, おもしろおかしい)
ド玄人は「俺なら2時間で作れる」と言うだけで、結局何も生み出さない訳ですね、分かります。
Re:2時間の時点で (スコア:1)
とりあえず二億はもらっておきますよ
新手のDOS攻撃ですか? (スコア:1)
#やがてみんな逮捕されて収束する:-
TBSが担ぎ出してたみたいですけど (スコア:0)
Re: (スコア:0)
で、2chに投稿された警視庁爆破の同文面の犯罪予告は (スコア:0)
Re:で、2chに投稿された警視庁爆破の同文面の犯罪予告は (スコア:1)
Re:で、 (スコア:1)
混沌の中にこそ真実がある・・・かもしれないけど探すのめんどい
Re:で、 (スコア:1)
LIVE-GON(リベゴン)