XSSというかクロスサイトで嫌なものを読み込ませる攻撃について   1 comment

Posted at 8:12 pm in Security

こんにちは。

もうすぐネット選挙ですね。

cats_2013-06-06_9

お前には負けん!

で、選挙活動のためこれからいろんな政党や候補者のサイトがネットに立ち上がっていくのでしょう。

そして普通に考えると対立候補や支持者や愉快犯によって、脆弱性があると攻撃されてしまうのです。よわっちいパスワードが設定されていたりSQLインジェクション脆弱性があるのは論外ですが、XSS脆弱性がある場合も政治が絡んだサイトの場合、他のサイトに比べてリスクが高くなるんじゃないかなあって思っております。

そこで、他とは違うリスクについて書かせていただきます。画像を見て笑ってる場合じゃないですよ。

さっき修正されたのですが(お疲れさまです)、
ミンダナオのような名前の日本とあまり中のよろしくない国の組織がありますが、
そこにXSS脆弱性がありました。
こわいですね。

以前も書いた気がしたりしなかったりするのですが、こういう政治が絡んだWebサイトの場合、XSSでセッションハイジャックというややこしい攻撃よりも、もっと簡単で恥ずかしい攻撃が行われるわけです。

以前あった小沢一郎先生の掲示板だって、鳩山由紀夫に乗っ取られるわけですよ。(現在掲示板は休止中)

ozawa-2

で、ミンダナオ的なWebサイトも同様に嫌な画像がXSSによって自分のWebサイトに貼り付けられてしまうわけです。
例えば、こんなのとか。

mindan-03

 

うわ、我が国のWebサイトなのに旭日旗ですか、この、裏切り者!

mindan-01

日王だなんてとんでもない!

みたいなことになるわけです。(もう少しきちんとした画面にもできましたが、ここは攻撃によるURLで作られたことがわかりやすいようにしています)

しかも、ドメインは正しいし、これは裏切った!と思うアホもいっぱいいますよね。
みんなリテラシーが高いわけではありません。最近では短縮URLもありますし、「ついにスパイが本性を現した」適当なキャプションを付けることで騙される人もたくさん出てくる気がします。

 

でも、最近だと反射型のXSSなんてXSSフィルタあるから無理じゃね?

みたいな意見もあると思います。
私もそう思って複数の種類のブラウザーで調べてみたのですが、imgタグ読ませて画像を貼り付けるだけなら、XSSフィルタでは防いでもらえないっぽいです。XSSフィルタって基本的にスクリプトの実行を防ぐためのものだからですかね。

なので、政治的なWebサイトの人は、敵対する主張の人や愉快犯にXSSが見つけられてしまった場合、煽動やデマの拡散に使われますので、反射型XSSなめんな!というみたいな主張をさせていただきますとともに、脆弱性を見つけられた場合、速やかに修正しろと主張させていただきます。

それでは、候補者の皆様は選挙前に降伏宣言など出されないようセキュリティにお気を付けください。

では。

Written by bogus on 6月 6th, 2013

Tagged with