2008/03/12(水)水曜日ー。(あこきゅんきゅんしちゃいます?)
[セキュリティ] * Amazonのすごいアクセス解析サービス (ぼくはまちちゃん!)
“* Amazonウィッシュリストで個人情報ダダ漏れ中
” のほうは、「そりゃあ、ウィッシュリストなんだから公開されるの当たり前ぢゃん?」(* Amazonの説明
にも、わざわざ太字で、「このリストの初期設定は**公開**になります。」って書かれてるし。 (←いつから書いてあるのかは知りませんけど。))と思いましたけど、はまちちゃんのアクセス解析ネタのほうはヒドい。(-_-;これは、Amazon の「友だちにほしい物リストについて知らせる」機能に存在する、クロスサイトリクエストフォージェリ(CSRF)の脆弱性を使って、Webページにアクセスした人の本名やメールアドレスを収集することが出来るという内容になっています。 確認してみたところ、現在も未修正でした。 あまりにもあっけなく取れてしまうので焦った。 とりあえず、こまめにサインアウトするしか無いですね。 IPA には通報済みかな?↓罠のリンクを踏まされてしまうと、下記のように本名&メアドが勝手に送信されてしまいます:[雑談] * 安全なウェブサイトの作り方 改定第3版 (葉っぱ日記)
IE 5 と IE 6 の FTPクライアント機能に、FTPコマンドインジェクションの脆弱性。
[出来事] * やられちゃいましたね>トレンドマイクロ (写真とコンピュータウイルスetc)
トレンドマイクロのウィルス情報のページが改ざんされて、ウィルスが埋め込まれたそうです。リリース出ました。 ⇒ * 弊社ウイルス情報ページの改ざんについて (トレンドマイクロ)
“* Amazonウィッシュリストで個人情報ダダ漏れ中
” のほうは、「そりゃあ、ウィッシュリストなんだから公開されるの当たり前ぢゃん?」(* Amazonの説明
http://www.amazon.co.jp
にも、わざわざ太字で、「このリストの初期設定は**公開**になります。」って書かれてるし。 (←いつから書いてあるのかは知りませんけど。))と思いましたけど、はまちちゃんのアクセス解析ネタのほうはヒドい。(-_-;これは、Amazon の「友だちにほしい物リストについて知らせる」機能に存在する、クロスサイトリクエストフォージェリ(CSRF)の脆弱性を使って、Webページにアクセスした人の本名やメールアドレスを収集することが出来るという内容になっています。 確認してみたところ、現在も未修正でした。 あまりにもあっけなく取れてしまうので焦った。 とりあえず、こまめにサインアウトするしか無いですね。 IPA には通報済みかな?↓罠のリンクを踏まされてしまうと、下記のように本名&メアドが勝手に送信されてしまいます:[雑談] * 安全なウェブサイトの作り方 改定第3版 (葉っぱ日記)
textile(2008/03/11追記: 本日付けで上記は訂正されたようです。さすが葉っぱ日記、IPA のなかの人のウォッチ対象になってるwww[セキュリティ] * IE 5とIE 6にCSRFの脆弱性 (ITmedia)
IE 5 と IE 6 の FTPクライアント機能に、FTPコマンドインジェクションの脆弱性。
textile<iframe src="ftp://admin@10.2.45.237/%0D%0ADELE%20foo.txt%0D%0ACWD//">上記のような URL を処理する際に、ファイル名(ディレクトリ名)部分に存在する改行コード(%0D%0A)をそのまま展開して送信してしまうため、下記のように、任意の FTPコマンドを挿入可能らしい。
textileCWD /home/admin/DELE foo.txtCWD/また、admin@ のようにユーザ名さえ指定しておけば、パスワード(PASSコマンド)の部分は、IE が勝手にキャッシュされたログイン情報を送ってくれてしまうとのこと。(^-^;関連: * R7-0032: Microsoft Internet Explorer FTP Command Injection Vulnerability
[出来事] * やられちゃいましたね>トレンドマイクロ (写真とコンピュータウイルスetc)
トレンドマイクロのウィルス情報のページが改ざんされて、ウィルスが埋め込まれたそうです。リリース出ました。 ⇒ * 弊社ウイルス情報ページの改ざんについて (トレンドマイクロ)