気になるNEWSの部屋
毎日の気になったニュースをひたすら記録していきます。トラックバックも大歓迎!(記事への言及なくてもOKです)
10 | 2017/11 | 12
S M T W T F S
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -

スポンサーサイト 【--/--/--】
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

「予告.in」にXSS攻撃、アクセスすると警視庁爆破予告 【2008/08/04】
犯行予告収集サイト「予告.in」に8月3日、不正なコードが埋め込まれ、アクセスと同時に「警視庁爆破する」という犯行予告文を「2ちゃんねる」に強制的に投稿させる問題が起きた。約1時間半後に修正されたが、運営者の矢野さとるさんは「利用者に迷惑をかけて申し訳ない」と謝罪している。
問題が発生したのは、3日の午前2時18分から3時55分。PCで予告inにアクセスすると、2ちゃんねるのVIP板に、タイトル「警視庁爆破する」、本文「嘘です」、名前欄にアクセス元リモートホストを書いたスレッドを、強制的に投稿させる状態になっていた。
クロスサイトスクリプティングXSS)の脆弱性をつき、予告投稿欄に不正なコードが埋め込まれていたことが原因。投稿欄のURL部分にエスケープ処理(不正な文字列を無効化する処理)を行っていなかったため、悪意あるコードを投稿欄のURL部分に埋め込んだ場合、コードを実行させる危険性があったという。

引用元:「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿


[PR]日刊芸能新聞


矢野さんはユーザーからの連絡で状況を確認。不正コードを排除し、不正コードを送信・表示できないような対策を講じた。犯行予告を投稿後、すぐに反映する形式から、いったん内容を確認してから反映させる方式に一時的に変更した。
警視庁には、これらの投稿が不正なコードによって行われ、投稿者本人の意志ではないことを連絡。必要があれば被害届を出したいという意思を伝えた。警視庁は事実関係を把握し、調査を行っているという。
矢野さんは「利用者の皆様にご迷惑をおかけして大変申し訳ございませんでした」と謝罪。プログラムの整備やセキュリティー対策強化を行っていくとしている。
スポンサーサイト
この記事に対するコメント

この記事に対するコメントの投稿














管理者にだけ表示を許可する


この記事に対するトラックバック
トラックバックURL
→http://ctrlcv.blog19.fc2.com/tb.php/309-7ad0339f
この記事にトラックバックする(FC2ブログユーザー)

予告.inが不正コード被害閲覧で2ちゃんねるに犯行予告投稿

 インターネット上の犯行予告を集積・共有するサイト「予告.in」で3日、不正なコードが埋め込まれ、トップページにアクセスすると「警視庁爆破する」という犯行予告文が、自動的に2ちゃんねるへ投稿される現象が発生した。 この現象が発生したのは、3日午前2時18分から... Newsブログ検索結果BLOG【2008/08/05 10:44】

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。