Black Hat Japan 2006 Briefings 潜入レポート(2)AJAXウェブアプリケーションへの攻撃: Web2.0の脆弱性 | ScanNetSecurity
2026.07.11(土)

Black Hat Japan 2006 Briefings 潜入レポート(2)AJAXウェブアプリケーションへの攻撃: Web2.0の脆弱性

2006年10月5日,6日に新宿で開催され盛況のうちに幕を閉じた、国際セキュリティ会議 Black Hat Japan 2006 Briefings には、世界各国及び日本国内から、著名なコンピュータセキュリティのエキスパートが集結、世界トップクラスの研究成果と、知識・経験が発表されました。

特集 特集
2006年10月5日,6日に新宿で開催され盛況のうちに幕を閉じた、国際セキュリティ会議 Black Hat Japan 2006 Briefings には、世界各国及び日本国内から、著名なコンピュータセキュリティのエキスパートが集結、世界トップクラスの研究成果と、知識・経験が発表されました。

会期中は、多数の入場者が訪れたばかりか、その選りすぐられた講師陣が海外でも話題を呼び、ヨーロッパ等国外からの参加者も多数来日しました。

同会議には今年も昨年に引き続き、日頃SCANに寄稿いただいている専門技術者の方が、レポーターとして、参加しました。「Winny」「カーネル内でのWindowsフォレンジック分析」「イントラネットへの外部からの攻撃」「AJAXウェブアプリケーションへの攻撃」等、BHJ2006 のハイライトの一部を紹介します。

──────

●Ajaxでは攻撃も複雑化

従来のWebアプリケーションでは、殆どのプロセスがサーバ側で処理されていたが、Ajaxのアーキテクチャではサーバ側とクライアント側の双方で処理が行われる。つまり、攻撃者にとって標的が増えたことになるのである。Ajaxは、JavaScriptを利用した手法であるため、これらのプロセスの処理はブラウザ上で行われる。つまり、悪意のあるJavaScriptをダウンストリームに埋め込むことにより、容易に不正操作を行うことが可能となるといえる。

Alex氏は、攻撃例としてクロスサイトスクリプティング(以降、XSS)とクロスサイトリクエストフォージェリ(以降、XSRF)を例に挙げ、Web 1.0とWeb 2.0(Ajax)環境における攻撃方法の差異を説明した。

先ず、XSSの場合だが、Web 1.0の通信方式ではHTMLをブラウザにダウンロードしていたため、攻撃者はHTMLにスクリプトを挿入すれば良かった。例えば、入力フォームに
PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. 東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

    東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

  3. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

  4. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  5. バックアップで復旧・運営に支障無し・データ流出確認されず・金銭支払も無し ~ 武蔵野大学がランサムウェア感染

    バックアップで復旧・運営に支障無し・データ流出確認されず・金銭支払も無し ~ 武蔵野大学がランサムウェア感染

ランキングをもっと見る
PageTop