[出来事] * Google Sitemapsに脆弱性が発見されるも修正済み (INTERNET Watch)

---

textile米Googleは18日、Google Sitemapsに脆弱性が存在することが発見されたものの、現在は修正済みであることを明らかにした。…発表によると、…確認プロセスにバグが存在していたため、第三者によってサイトの統計が閲覧できるというセキュリティ上の問題が発生していた。

まぁ、Google Sitemaps の画面は、他人に見られても問題ない内容だったような気もしますがｗ[出来事] ワコールの情報流出の原因は、SQLインジェクション。◆* Ｑ. 不正アクセスの原因は何か？またいつ頃までに究明するのか？ (ワコール)

---

textileＡ. ＮＥＣネクサスソリューションズ株式会社の管理・運用するオンラインショップシステムにおいて今年8月にシステム変更を行いました。ＳＱＬインジェクションによる不正アクセスへの対策を行っているとの認識をしておりましたが、システムの一部に対策漏れがあることがこのたびの調査で判明しました。結果としてその対策漏れが放置されていました。現在、さらに詳細な原因の徹底究明に向けて対応中です。

ＦＡＱが改定され、当初は「不正アクセスに対する対策」と書いてあった部分が、「ＳＱＬインジェクションによる不正アクセスへの対策」に変わったようです。**[18:11追記]** IT Pro に記事が出たようです。 Thanks, 田中．ＲＯＭさん　 ・* 手口はまたもやSQLインジェクション，ワコールオンラインショップへの不正アクセス (IT Pro)

---

[出来事] * ネットでテニスコートを不正予約 (日刊スポーツ)

---

caqさんの* openmyaMLへの投稿

---

で知りました。

textile今月、１０人のうち一部がＨＰ上の同システムの登録データを操作して予約記録を無断で書き込み、本来は１カ月前から予約可能になるテニスコートを、１カ月以上先まで「先取り」した。

hidden とか select の値を改ざんして登録した系のお話でしょうかね〜？

textile市は町田署に届けたが、手続きには正規のＩＤなどが使われているため不正アクセス禁止法違反などには問えないのが現状で、条例に罰則を設けるなどの改正を検討している。

あちゃー。 オオゴトになっちゃってますね。(汗　 最初から強硬手段に出ずとも、対象者は分かってるんだから、まずは普通に本人に警告するだけで良いと思うんですけどもね。 不正アクセスじゃないし、金銭も絡んでないし、業務妨害でもないのだから。 頭に血が上っちゃったんですかね。(^-^;[セキュリティ] * IE に存在する未対応の脆弱性、概念実証コードが公に (Japan.internet.com)

---

• openmyaMLで話題になっています

---

が、Internet Explorer に非常に危険な 0-Day が見つかりました。

textileWeb ブラウザ『Internet Explorer』(IE) の脆弱性で、Microsoft が未対応のものについて、悪用すればシステム乗っ取りの可能性があることを示す概念実証コードが公になった。

最新パッチ適用済みの Windows 2000 で、某所の exploit が再現できたという風のウワサも聞きました。 インターネット側では、アクティブスクリプトを無効にしておいた方が無難かも知れませんね。関連： * Microsoft Internet Explorer "window()" Arbitrary Code Execution Vulnerability (Secunia)

---

関連： * Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される (Microsoft)

---

[雑談] * Google Analytics、需要過剰で新規ユーザーの受け入れ停止 (ITmedia)

---

textile無償化の直後から人気が高すぎてパフォーマンス問題が報告されていたアクセス解析サービスGoogle Analyticsが、ついに新規ユーザーの受け入れを停止した。

あまりの人気でトラブル続出の Google Analytics ですが、とうとう新規ユーザの受け入れ停止だそうです。 ただし、一時的な制限であり、今後 態勢が整い次第、再開する予定のようです。[セキュリティ] * Google Search Applianceにクロスサイトスクリプティングの危険性 (ITmedia)

---

Googleの企業向け検索アプライアンスにクロスサイトの脆弱性。

textileGoogle Search Applianceでは検索インタフェースに使われているXSLTによるカスタマイズが可能だが、…XSLTスタイルシートのパスに、リモートのURLを設定可能となっており、クロスサイトスクリプティング（XSS）、ファイルの発見、サービス一覧表示、任意のコマンド実行などが行われる危険性があると、Metasploitは指摘している。

「任意のコマンド実行」の部分は微妙すぎ・・・。(^-^;　 Google、XSS 多すぎですねｗ関連： * Google Search Appliance proxystylesheet Flaws (Metasploit)

---

[雑談] * 人が幸せになるITを――オリンパスの「インスパイア型ユビキタス」 (ITmedia)

---

これまたＳＦのようなシステムです。 未来が楽しみ〜。 （今の時期、「インスパイア」は使わない方が良いかも？ｗ）[セキュリティ] * Black Hat Japan 2005 - クロスサイトスクリプティング、どんな攻撃で、どう防ぐか (MYCOM PC WEB)

---

クロスサイトスクリプティングの種別が分類されていました：```textile・ Direct EchoJavaScriptのコードを埋め込んだURLを実行したりリンクをクリックしたりすると、そのスクリプトが実行されてしまうというもの。（もっともよく使われる手法）・ HTML Injectionクリックなどユーザーの操作は必要なく、コードが注入されたHTMLメールやブログページなどを閲覧しただけでスクリプトが実行される。（XSSの攻撃方法の中でもっとも危険）・ XSS Redirect Disguiseリダイレクト先のURLの表示を偽装、実際には別のサイトにアクセスしている。・ XSS Page-Rewritingページを書き換えることで正式なサイトの中の一部に別ドメインに送信されるフォームを作成できてしまう。・ XSS-Proxy詳細不明。　**[追記]** ツールの名前でした。(^-^;　⇒* An advanced Cross-Site-Scripting (XSS) attack tool

---

・ XSS Remote Control全画面のIFRAMEでスクリプトを読み込み、Webサイトの偽装が行える。```XSS-Proxy ってナニモノだろう？　Microsoft.XMLHTTP を使うようなスクリプトを実行させて別サイトに接続させることを言っているのかなぁ。 （この資料見たいな〜。 どこかに置いてありませんかね？）**[追記]** はせがわさんに資料の在り処を教えて頂きました♪(^-^)　 ・ * Phising with Super Bait (blackhat.com)

---

**[pdf]**