quickedit - HTMLリアルタイム編集(ブックマークレット)
HTMLをリアルタイムに変更して確認できるブックマークレット。
すばらしいです!!
Ajax: 2005年10月アーカイブ
この攻撃には、以前から知られていながらほとんど対策が取られていない、クロスサイトスクリプティング(XSS)という脆弱性が使われた。XSSは、単純なHTMLコードだけでなく、ユーザーがWebサイトのソースコードを操作できるダイナミックなWebサイトが多いことから発生する。
このサミーという少年が仕掛けたワームというのが、
Ajaxを使ってるそうな。
Ajaxのスクリプトを登録するのにXSS脆弱性をついたんでしょうね。
サミーへのインタビューがあります。
Upon executing the code, it would add me as one of their friends. This normally requires their approval, but this was all done in the background via Ajax. It required multiple GETs and POSTs in order to obtain all the information necessary, such as random hashes, to approve the friend request.
いくら承認プロセスがあっても、
Ajaxはバックグラウンドで複数回の処理を行えるので
もろくも崩れ去ってしまうという実例。
気をつけろ!!(長井風)
