↑↑↑

安心のBIGLOBE、Livedoorが運営!!

自宅でチャットするだけ

月168,000円~給料日払!!

パソコンある人すぐ登録!!

分給70円・・・という事は

1時間4,200円!?

月100万円以上実績あり

35,000人以上が在籍中!







拡大写真
9月21日、「Twitter」に深刻なセキュリティ脆弱性が存在していることが発覚したが、問題はすみやかに修正された
 9月21日、「Twitter」に深刻なセキュリティ脆弱性が存在していることが発覚したが、問題はすみやかに修正された。

【詳細画像を含む記事】

 クロスサイト・スクリプティングとは、別のWebサイトから抜き取った本来許可されるべきではないスクリプトを実行し、同スクリプトに情報を盗ませたり、ほかの悪質なコードを動かす足場を作らせたりする攻撃を指す。

 ヴィヘルスキー氏によれば、ユーザーが悪質なリンクをクリックすることで同脆弱性が発動するように見えるが、あるテストではユーザーが何もしなくても攻撃が起こる可能性が判明したという。

 「ユーザーのアクションなしに、外部URLから二次的なJavaScriptを読み込むことができるため、ワームの侵入がきわめてたやすく、非常に危険な状態と言える」(ヴィヘルスキー氏)

 Twitter運営側もこの問題を把握し、21日の午後には、「XSS攻撃の存在を確認し、現在パッチを適用しているところだ。こうした攻撃に関する情報があれば、いつもどおり@safetyあてにメッセージを送ってほしい」と書き込んでいた。

 攻撃コードはIRCインスタント・メッセージング・サービス上で暴露されたと、ヴィヘルスキー氏は述べている。また、Webサーバの利用状況を調査している米国Netcraftのポール・マトン(Paul Mutton)氏は、問題に気がついた人々が無害なコンセプト実証実験を行った痕跡があったと話している。Netcraftのブログにあるように、同脆弱性を利用すると、ツイートにマウスオーバーした際、一見何でもないように見えるポップアップ・メッセージを表示することができる。

 とはいえ、あるユーザーは同脆弱性がCookieの盗難という、より深刻な問題を引き起こす可能性を指摘していると、マトン氏は述べている。CookieはWebブラウザに格納されているデータの小片であり、ユーザーのWeb上での行動を追跡したり、ユーザーが特定のWebサイト上にログインしたままの状態でいたい場合にそのことを記憶していたりするのに使用される。

 Webサイトに対する複数の調査でも、最も一般的なWebアプリケーション脆弱性の中にクロスサイト・スクリプティング脆弱性が含まれているとの結果が出ている。

(Jeremy Kirk/IDG News Serviceロンドン支局)




※この記事の著作権は、ヤフー株式会社または配信元に帰属します
http://headlines.yahoo.co.jp/hl?a=20100922-00000002-cwj-secu