多様なスクリプトが使用されるウェブサイトは、クロスサイトスクリプト攻撃に脆弱

国際海外情報

2001.12.27 Thu 12:00

概要：
　多様なスクリプトを実行しているウェブサイトは、クロスサイトスクリプト攻撃を受けやすい。クロスサイトスクリプトに対して脆弱なのは、modules.php、download.php、comments.php、replypmsg.phpおよびim.phpの5種類のPHP-Nukeスクリプトである。さらに、Allen氏とKeul氏が作成したAktivateアプリケーションの一部として使用されるcatgy.cgiスクリプト、及び eBay社のウェブサイトで使用される検索スクリプトもこの攻撃に対し脆弱。

　この攻撃の方法は次の通り。攻撃者が前述の5種類のPHP-Nuke(または、eBayやAktivateで使用されているスクリプト)が使用されているウェブサイトを見つける。次に攻撃者はURLを作成し、そこにJavaScriptまたはVisual Basic Scriptなどのスクリプトコードを挿入する。ターゲットユーザーがこのURLを受け取ってクリックすると、埋め込まれたスクリプトコードがユーザーのコンピュータ上で実行され、このコードが指定する操作が実行されてしまう。

情報ソース：
SecurityOffice.net Dec. 18, 2001
http://www.securityoffice.net/articles/aktivate/
BugTraq (phine, phine@anonymous.to), Dec. 18, 2001
Vuln Dev (frog frog, leseulfrog@hotmail.com), Dec. 19, 2001

分析：
(iDEFENSE 米国) この攻撃の結果受ける影響は、埋め込まれたJavaScriptが指定する操作によって異なる。操作の例としては、クッキーの盗用や、ハードディスクの内容の変更などがある。ユーザーが認識すべきことは、一見重要でないウェブサイトにアクセスした場合でも、クライアントホストがファイアウォールで保護されている場合や、クライアントが他のウェブサーバー(例えばイントラネット用の)への認証情報をキャッシュしている場合、ネットワーク上の他のローカルホストが危険にさられる可能性があるということである。

検知方法：
　5種類のPHP-Nukeスクリプトは、インターネットから広く入手可能。Aktivate 1.03に、脆弱性を持つスクリプトが含まれている。

暫定処置：
　ウェブブラウザのすべてのスクリプト機能を無効にする。この操作方法の詳細についてはhttp://www.cert.org/tech_tips/malicious_code_FAQ.htmlを参照。また、URLをアクセスする場合、リンクを不注意にクリックするのではなく、常にURLを直接ウェブブラウザに入力する。入力したURLを調べても異常が見付からないかもしれないが、それでもこれが最善の方法である。

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【16:38 GMT、12、21、2001】