クロスサイトスクリプティング攻撃がYahoo!オークションに仕掛けられる
5月11日、Yahoo!オークションにクロスサイトスクリプティング攻撃が仕込まれていることが発見された。
出展者を装った攻撃者が、クロスサイトスクリプティングのコードを自己紹介ページに埋め込んでいた。
製品・サービス・業界動向
業界動向
出展者を装った攻撃者が、クロスサイトスクリプティングのコードを自己紹介ページに埋め込んでいた。
埋め込まれたコードは、セッションハイジャックなど個人情報を盗むものではなく、閲覧者のブラウザをクラッシュさせるいわゆるブラクラ(ブラウザクラッシャー)であった。
これまで、クロスサイトスクリプティング脆弱性は、攻撃、悪用されていてもログなどから検知することが困難であることなどからその被害が把握されることが少なかった。特にセッションハイジャックによる個人情報の盗用は被害者自身が気が付かなければ誰も気づくことがない可能性が高い。
今回のブラウザクラッシャーは、はっきりと被害がすぐに把握できる珍しい例といえる。
クロスサイトスクリプティング攻撃の仕掛けられたページ
【注意】閲覧すると攻撃コードが自動的に実行されます。
クリックできないよう全角文字をいれています。
http://user.auctions.yahoo.co.jp/jp/show/aboutme?userID=neo_mana1
《ScanNetSecurity》