lycos.com 翻訳および Infolease(情報提供)サービスのクロスサイト・スクリプティング
[翻訳:関谷 麻美]
2002年3月15日
国際
海外情報
2002年3月15日
概要:
lycos.com の翻訳および Infolease サービスにクロスサイト・スクリプティング(CSS)攻撃を仕掛けることは可能だ。
詳細:
lycos.com の翻訳および infoplease サービスは悪意ある入力のチェックを行わず、そして "<" or ">" のような文字をフィルターで除かない。 結果、クッキーを盗むことが可能になる。
影響:
被害者にカスタム lycos.com URL を提供することによりクッキーを盗むことができる。
攻略手段:
攻撃するために行わなければならない唯一のことは、 textbox に HTML コードを入力するか、以下のリンクをクリックするだけである。
translation.lycos.com:
http://translation.lycos.com/?urltext=<;script>alert
(document.cookie)</script>&lp=en_de&partner=demo-Lycos2-en
infoplease.lycos.com:
http://www.infoplease.lycos.com/search.php3?in=dictionary&query=<;/title><script>alert(document.cookie)</script>
解決策:
Lycos.com は、"<" and ">" のような危険な文字をチェックするためにフィルターを実装すべきだ。
ベンダーの対応:
ベンダーと連絡をとった。
追加情報:
http://www.IT-Checkpoint.net のメンバーである tSR がこの情報を提供した。
[情報提供:SecuriTeam]
http://www.securiteam.com/
《ScanNetSecurity》
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開
-
サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求
-
「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応
-
ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向