XSSについての白Zさんの見解

2

こういうネタから発展?

リンク blog.osyoyu.com XSSを放置してたら数十分でサイトのデザインが出来上がってた件 | しょーゆ日誌

以下は白Zさんの見解とそれに対するやりとり等々

ガルヒGarhi @GarhiTech

セキュリティ対策は必要ですがセキュリティ対策に対して過度に敏感になり過ぎてはならない。XSSなんかはその代表格。その企業がおかれている状況など総合的に判断する事が必要。

2012-10-09 16:07:25
相沢陽菜 @fetus_hina

@WhitehackerZ1 ところで、 http://t.co/txFohvyEhttps://t.co/IJmJ6ml4 はいつ頃ご対応いただけるのですか

2012-10-09 15:36:58
ガルヒGarhi @GarhiTech

@fetus_hina 見た感じもう無いようです。しかしながら、執念で探すとの回答を得ています。今しばらくお待ちくださいませ。

2012-10-09 15:44:36
相沢陽菜 @fetus_hina

@WhitehackerZ1 「もう無い」「探す」とは…?まさか攻撃されたと認識していて何の策も練っていないのにログファイル消したんですか?

2012-10-09 15:45:47
ガルヒGarhi @GarhiTech

@fetus_hina あの時は想像を絶する攻撃でした。ファイルについては不手際があった様です。悔しい限りです。

2012-10-09 15:48:49
相沢陽菜 @fetus_hina

@WhitehackerZ1 毎分200じゃ想像が甘いだけですってば。それに、わずか 2 週間前の HTTP アクセスログを失うというのはちょっとセキュリティ屋としてあるまじき自体なんじゃないですかね

2012-10-09 15:50:14
ガルヒGarhi @GarhiTech

@fetus_hina 紛失につきましてはただただ反省するばかりです。毎分500の可能性も600の可能性もあります。ワードプレスの解析ではIPは一か所から怒涛のアクセスでした。

2012-10-09 15:52:58
ガルヒGarhi @GarhiTech

@fetus_hina やはり、対した事はないですね。

2012-10-09 16:12:04
相沢陽菜 @fetus_hina

@WhitehackerZ1 えっ、これが何を意味するか分からないのですか

2012-10-09 16:12:16
ガルヒGarhi @GarhiTech

@fetus_hina エロ画像に書き換えられても中小企業ならば元に戻せば済むだろう。

2012-10-09 16:13:29
相沢陽菜 @fetus_hina

@WhitehackerZ1 被害がそれだけですめばいいですね。ウィルスサイトへのリンクでも貼られたらどうしますか?XSS というのは要するに何でもできるんですよ?

2012-10-09 16:14:09
相沢陽菜 @fetus_hina

エロ画像に書き換えられても中小企業ならば元に戻せば済むだろう。 _人人人人人人人人人_ > 元に戻せば済む <  ̄^Y^Y^Y^Y^Y^Y^Y^ ̄ https://t.co/pxhJD6zh

2012-10-09 16:15:09
ガルヒGarhi @GarhiTech

@fetus_hina @WhitehackerZ1 リンクはどこに貼るのですか?可能性論言い出したらWEBサイトは全て危険になります。

2012-10-09 16:15:50
相沢陽菜 @fetus_hina

@WhitehackerZ1 XSS でタグを書き換えることができるので、どこにでも貼れます。すべてのリンクを書き換えることもできますし、見えないようにこっそりとiframeを埋め込んだり、脆弱性をつく画像を貼ることもできるでしょう。

2012-10-09 16:17:50
ガルヒGarhi @GarhiTech

@dnsrebinding @fetus_hina その企業体質によりますしそれは企業が判断する事だと認識しているだけです。危険が無いと言っているのではありません。

2012-10-09 16:18:58
ガルヒGarhi @GarhiTech

@fetus_hina @WhitehackerZ1 別サーバから、脆弱性のあるページに対して、以下のコードを作って投げて実行されと思いますか?<input type="hidden" name="name" value='"<script>alert(1)</script>'>

2012-10-09 16:25:27
相沢陽菜 @fetus_hina

@WhitehackerZ1 対策されているページであればその文字列が(ちょうど Twitter のように)そのまま表示されますし対策されていないページであれば謎の文字列「"<script>alert(1)</script>」が入力欄として表示されるでしょうが何が言いたいんですか

2012-10-09 16:28:52
ガルヒGarhi @GarhiTech

@ockeghem @WhitehackerZ1 有難うございます。神経質になり過ぎている点は業界的に何とかすべきでは?と思います。

2012-10-09 16:29:01
ガルヒGarhi @GarhiTech

@fetus_hina @WhitehackerZ1 つまりは、formのhiddenパラメータにスクリプトを埋め込んでも実行されないという事でいいでしょうか?

2012-10-09 16:35:43
相沢陽菜 @fetus_hina

@WhitehackerZ1 提示された埋め込み方なら実行されませんが、別の埋め込み方であれば実行される可能性はあると思います。実際の埋め込み方は文脈依存なので一概には。

2012-10-09 16:37:58
ガルヒGarhi @GarhiTech

@fetus_hina 可能性ですか?具体的に示して頂けませんか?

2012-10-09 16:41:22
相沢陽菜 @fetus_hina

@WhitehackerZ1 だから文脈に依存するといっているでしょう?

2012-10-09 16:41:37
1 ・・ 4 次へ

いま話題のタグ

タヌキ108 竹田くん5 ゲゲゲの謎16 登山875 離婚364 初見感想からしか取れない栄養素がある25 ザ!鉄腕!DASH!!526 AIイラスト260 志摩スペイン村26 ファンタジー1658 任天堂1050 岸田メル63 声優4008 岸田文雄198 サーティワン31