08/08/03 20:55:22.41 愛 8qMxAgLN0 BE:307144073-PLT(12000) ポイント特典 株主優待
予告inにおけるXSS脆弱性、及び被害の概要について
URLリンク(yokoku.in)
●まとめ
3日午前3時頃、予告inに通報(予告inでのスレ立て)しようとすると、VIP板にフシアナで「警視庁※※する」というスレを立ててしまうスクリプトが埋め込まれる。
↓
通報した本人が犯行予告して通報されるという永久機関が完成。VIP荒れる。便乗して本当に犯行予告する人も現れる。
↓
他サイトでも、今回の脆弱性を利用したスクリプトが発見される。
↓
予告.inの矢野さとるさん脆弱性対策完了。
↓
行き場を失ったスクリプトが2chで暴走中。Be持ちも多数被害に。
埋め込まれたページにアクセスすると特定のスレへフシアナで「poo!」と強制的に書き込みを行わされてしまう。
↓
6スレ目で ID:hYrLSqcY0 氏がPerlスクリプトソース公開。
7スレ目で ID:CiG+JP9j0 氏がPHP版スクリプトソース公開。
↓
今後は投稿内容を危ない文章に改変したものや、別板へスレ立てするタイプが誕生するのではという懸念が広がる。
URL圧縮サービスを使用したアドレスは当分踏まない方が良さそうだ。
●前スレ
07 URLリンク(www.23ch.info)
06 URLリンク(www.23ch.info)
05 URLリンク(www.23ch.info)
04 URLリンク(www.23ch.info)
03 URLリンク(www.23ch.info)
02 URLリンク(www.23ch.info)
01 URLリンク(www.23ch.info)