5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【脆弱】@niftyの掲示板にセキュリティホール

1 :名無しさん@お腹いっぱい。:03/06/26 06:33
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030623/3/
ニフティが運営するインターネット接続サービス「@nifty」の電子掲示板に、
システム上のぜい弱性が発見された。「クロスサイト・スクリプティング(XSS)ぜい弱性」
と呼ばれる問題によるもの。同社は6月20日19時から電子掲示板の一部機能を停止し、
緊急メンテナンスを実施している。6月28日前後の機能復旧を目指して作業中だ

・@nifty:会員サポート:トラブル・メンテナンス情報:各種サービスのメンテナンス情報
http://www.nifty.com/supinfo/mente_service.htm
・告発者のサイト「えび日記」
http://altba.com/bakera/hatomaru.aspx/ebi


2 :名無しさん@お腹いっぱい。:03/06/26 07:09
つA

3 :名無しさん@お腹いっぱい。:03/06/26 13:26
(つ´ー`)つB

4 :名無しさん@お腹いっぱい。:03/06/26 14:03
フォームいじりの小僧か

5 :名無しさん@お腹いっぱい。:03/06/26 14:15
虚弱性じゃないのか

6 :名無しさん@お腹いっぱい。:03/06/27 13:53
現時点なら@niftyのアカウント持ってる奴がCGIでcookie情報を抜いて
セッションハイジャックするのを防ぐ手立ては無いってこと。

7 :名無しさん@お腹いっぱい。:03/06/27 16:20
Webフォーラムの閲覧中は決して他のサイトを見て回らず、
見終わったら必ずブラウザを閉じるようにすれば
とりあえずは大丈夫だが

8 :名無しさん@お腹いっぱい。:03/06/28 02:42
それは違うな。
WEBフォーラムの利用云々には関係無い。ログイン後のセッション情報を持って
いかれかねないのが現状だということだ。

ログイン操作を行ってセッションを開始したらシステムが準備した静的コンテンツ
以外は危険だと思ったほうがいい。まだ修正されていないネタもあるらしいし。
むしろ安全宣言が出てそれが確認されるまではログインしないことだ。

ただし、パスワードを変更してすぐログアウトするのは万が一の備えに有効だと思う。


9 :名無しさん@お腹いっぱい。:03/06/28 09:03
> ログイン後のセッション情報を持っていかれかねないのが現状だということだ。
cgiにリンクするIMGを貼られたら対抗のしようがないね

> ログイン操作を行ってセッションを開始したらシステムが準備した静的コンテンツ
> 以外は危険だと思ったほうがいい。
静的コンテンツならセッションいらないじゃん。
遠回しに「ログインするな」って言ってるんだろうけど。

> まだ修正されていないネタもあるらしいし。
それがcgiでセッション情報を盗むって攻撃じゃないの?
XSSは判明しているものはすべて修正されたはず。

> むしろ安全宣言が出てそれが確認されるまではログインしないことだ。
無責任に「実害なし」なんて言う奴の安全宣言なんかぜんぜん信用できない。
「確認」に力点があるなら別に安全宣言を待たなくてもできる。

3 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)