Ajax: 2005年10月アーカイブ

quickedit - HTMLリアルタイム編集(ブックマークレット)

HTMLをリアルタイムに変更して確認できるブックマークレット。
すばらしいです!!

SNSにワーム仕掛けて友達数千人を水増し

この攻撃には、以前から知られていながらほとんど対策が取られていない、クロスサイトスクリプティング(XSS)という脆弱性が使われた。XSSは、単純なHTMLコードだけでなく、ユーザーがWebサイトのソースコードを操作できるダイナミックなWebサイトが多いことから発生する。

このサミーという少年が仕掛けたワームというのが、
Ajaxを使ってるそうな。
Ajaxのスクリプトを登録するのにXSS脆弱性をついたんでしょうね。

サミーへのインタビューがあります。

Samy, Their Hero

Upon executing the code, it would add me as one of their friends. This normally requires their approval, but this was all done in the background via Ajax. It required multiple GETs and POSTs in order to obtain all the information necessary, such as random hashes, to approve the friend request.

いくら承認プロセスがあっても、
Ajaxはバックグラウンドで複数回の処理を行えるので
もろくも崩れ去ってしまうという実例。

気をつけろ!!(長井風)

このアーカイブについて

このページには、2005年10月以降に書かれたブログ記事のうちAjaxカテゴリに属しているものが含まれています。

前のアーカイブはAjax: 2005年9月です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。