HTMLフォームのウェブページにある脆弱性を指摘(ドイツ) | ScanNetSecurity
2026.07.06(月)

HTMLフォームのウェブページにある脆弱性を指摘(ドイツ)

 ドイツのコンピュータ・プログラマーJochen Topf氏は“悪意あるハッカーが一見普通のウェブページを使用して、企業のファイアウォールのような防護壁の背後に設置されたサーバにコマンドを送ることが可能”とする論文を発表した。“HTMLフォーム・プロトコル攻撃”と題

国際 海外情報
 ドイツのコンピュータ・プログラマーJochen Topf氏は“悪意あるハッカーが一見普通のウェブページを使用して、企業のファイアウォールのような防護壁の背後に設置されたサーバにコマンドを送ることが可能”とする論文を発表した。“HTMLフォーム・プロトコル攻撃”と題する論文によると、攻撃者は一般に普及されているウェブ・ブラウザを悪用して秘密裏にそのブラウザのサーバにコマンドを送ることができる。

 その攻撃手法は、訪問者がオンライン・フォームに入った情報を取り込むために使用されるのと同じHTMLベース技術を用いる。正当なウェブページの場合、フォームを定義する全てのHTMLコードは、通常ウェブページ自身をホスティングしている同じサーバ上で動作するアプリケーションにユーザの要求を送る。しかし、同氏の指摘によると、フォーム・プロトコル“attacker”は、攻撃者のHTMLを符号化してその送られたデータを他のサーバに転送し、そして電子メール(SMTPとPOP3)、インターネット・チャット・リレー(IRC)、FTP(ファイル転送プロトコル)などのサービスに関連するTCP(伝送制御プロトコル)ポートを明示することも可能となる。

 前述のような攻撃手法が大規模な攻撃に使用される危険性は低い、とTopf氏は説明している。しかし、悪意あるハッカーがインターネット・ワームのような他の悪質なコードを埋め込み、そして自身の発信源を隠蔽するための有効な方法となり得ると警告した。さらに同氏はウェブ・ブラウザ用ソフトウェアの作成者に対し、脆弱の恐れがあるインターネット・サービスに関連するTCPポートへのフォーム・データの伝送をアプリケーションが確実に拒否するよう設計することを推奨し、そしてサーバ・ソフトウェアの開発者に対し、アプリケーションが受け取るデータのタイプに関し、より厳密に選択するようアプリケーションを設計すべきだと提言した。

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  3. 何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

    何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

  4. 現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

    現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

  5. 保護者連絡アプリ「ミマモルメ」で個人情報を誤配信、教頭 データ誤認

    保護者連絡アプリ「ミマモルメ」で個人情報を誤配信、教頭 データ誤認

ランキングをもっと見る
PageTop