Ajaxで友達増殖

SNSにワーム仕掛けて友達数千人を水増し

この攻撃には、以前から知られていながらほとんど対策が取られていない、クロスサイトスクリプティング(XSS)という脆弱性が使われた。XSSは、単純なHTMLコードだけでなく、ユーザーがWebサイトのソースコードを操作できるダイナミックなWebサイトが多いことから発生する。

このサミーという少年が仕掛けたワームというのが、
Ajaxを使ってるそうな。
Ajaxのスクリプトを登録するのにXSS脆弱性をついたんでしょうね。

サミーへのインタビューがあります。

Samy, Their Hero

Upon executing the code, it would add me as one of their friends. This normally requires their approval, but this was all done in the background via Ajax. It required multiple GETs and POSTs in order to obtain all the information necessary, such as random hashes, to approve the friend request.

いくら承認プロセスがあっても、
Ajaxはバックグラウンドで複数回の処理を行えるので
もろくも崩れ去ってしまうという実例。

気をつけろ!!(長井風)

トラックバック(0)

このブログ記事を参照しているブログ一覧: Ajaxで友達増殖

このブログ記事に対するトラックバックURL: http://blog.bz2.jp/bz2mt/mt-tb.cgi/85

コメント(2)

> FirefoxとInternet Explorerは次期バージョンでセキュリティ強化を施すと約束しているが、それによりXSS問題がすべて解決できるかどうかは疑わしいとグロスマン氏

って、XSS はブラウザ側の問題じゃないように思うんですが(^^;

開発者としては気をつけないと。ガクガクブルブルです。

邦訳した人がよくわかってなかったんでしょうね。
まあ、IT業界じゃよくあることなので(^^;

ウェブページ

Powered by Movable Type 4.21-ja

このブログ記事について

このページは、masatoが2005年10月20日 10:19に書いたブログ記事です。

ひとつ前のブログ記事は「Lynxでアクセスした有罪」です。

次のブログ記事は「ホリエナジー」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。