フロム「ずくだす」

« 希望を持って | メイン | アバウトな用語説明　-CGM- »

2006年09月27日

MovableTypeの脆弱性で話題になっているクロスサイトスクリプトとは

MovableTypeにセキュリティ上の問題

MovableTypeでセキュリティ上の問題が発見されました。ズクダスメンバーの中にも、MovableTypeを利用されている方、MovableTypeの利用を検討されている方も多く、他人事ではありません。詳しい情報と対策については、SixApartのサイトを見てください。対策としては、新バージョンに移行するか、パッチを当てる　ということになりそうです。

さて、今回の問題の原因である　「クロスサイトスクリプティングによる脆弱性」とはどういうことでしょうか？

クロスサイトスクリプティングによる脆弱性とは

クロスサイトスクリプティングによる脆弱性とは、クロスしたサイトでスクリプトによって引き起こされる問題です。

分かりにくい？　では、もう少し具体的に説明してみることにします。

三人の登場人物

まずあなたです

あなたは評判が良く、着実に売上を上げている通販サイトのオーナーです

次はAさんです

Aさんはあなたのサイトの常連客です。

最後はXさんです

Xさんは悪意をもって、あなたのサイトや他のサイトを攻撃しようと考えています

クロスサイトスクリプティングの仕組み

Xさんは何らかの方法であなたのサイトの存在を知り、攻撃をしたくなります。理由は分かりません。なんと言ってもXさんは悪意に満ちているのです。

行動的なXさんはあなたのサイト＝ウェブページに悪意あるプログラムを仕込んでしまいました。

何も知らない善良なAさんが、いつものようにあなたのサイトを訪問します。いろいろなページを見ていたAさんは、あのXさんが悪意を持ったプログラムを仕込んだページも見てしまいます。

クロスサイトスクリプティングによる攻撃

悪意を持ったプログラムはAさんのパソコンで処理を開始します。Aさんのセッション情報を盗み、Aさんになりすまして買い物を続けるかもしれません。あるいはAさんのパソコン上のデータやAさんのメールアドレスを盗むかもしれません。あなたのページを改ざんしたり、あなたのページとまったく関係のないページへAさんを誘導してしまうかもしれません。

クロスサイトスクリプティングによる脆弱性とは、何者かが仕込んだプログラムによって、あるサイトを訪問した人の情報が、他のサイトへ漏えいしてしまう危険のことです。

スクリプトは危険か？

この脆弱性を引き起こすプログラムは、比較的簡単なプログラム　という意味で「スクリプト」と呼ばれています。JavaScriptは聞いたことがあるでしょう。

しかし、すべてのJavaScriptが危険なのではありません。問題は悪意を持ったスクリプトが、あなたの知らない間に、あなたのページに仕込まれてしまう　という点です。

なぜスクリプトは危険なのか？

インターネット上でページを見る方法として、検索エンジンで検索したり、お気に入りをクリックしたり、直接URLを指定します。どの方法を取ったとしても、最終的にはURLで指定されたサーバのHTMLファイルを見ることになります。

HTMLファイルを見るにはブラウザを使います。IEにせよ、FireFoxにせよ、Operaにせよ、ブラウザはページを見る人のパソコン上にあり、パソコン上で動いています。

ブラウザはHTMLにあるスクリプトを処理します。それはページの作成者が意図したかどうかには関係ありません。ブラウザでスクリプトが動作可能になっていると、読み込んだスクリプトをすべて実行します。悪意があるかどうかも関係ありません。なにより、ページを見ている人には、作成者が意図したかどうか？　悪意があるかどうか？が判断できません。

そうして、他の悪意のないスクリプトと同様に、Xさんが仕込んだ悪意のあるスクリプトがAさんのパソコンで動作を開始し、攻撃を開始するのです。

悪意を持ったプログラムは、あなたのパソコンではなく、あなたのページを見た人のパソコンを攻撃するのです。

どんなサイトでも危険なのか？

訪れた人が何も書き込めなければスクリプトも仕込めません。基本的にはフォーム入力がなければ危険は無いと言えます。MovableTypeの場合、コメントとしてスクリプトが仕込まれたのではないかと思います。かといってコメントを書き込めないブログにすることもできません。そこで、スクリプトを無力化する仕組みが新しいバージョンに組み込まれたというわけです。

クロスサイトスクリプティングによる脆弱性は何もMovableTypeに限定した危険ではありません。ウェブ上で何らかの入力欄のあるページはすべて、クロスサイトスクリプティングによる脆弱性をはらんでいます。ショッピングカートやメールフォームも例外ではありません。あなたのサイトやあなたのブログは大丈夫ですか？そして、あなたのMovableTypeは対策済みのバージョンですか？

以上、自然派診断士　佐藤でした
画像は覆面をしたログハウスです

投稿者 itleader1 : 2006年09月27日 08:59

トラックバック

このエントリーのトラックバックURL:
http://www.zukudas-m.com/mt/mt-tb.cgi/312

このリストは、次のエントリーを参照しています: MovableTypeの脆弱性で話題になっているクロスサイトスクリプトとは:

» MovableTypeをバージョン from 宿澤経営情報事務所でのつぶやき
■MovableTypeをバージョンアップ 　MobableTypeが3.17だ... [続きを読む]

トラックバック時刻: 2006年10月01日 02:06

» Clomid. from Clomid.
Clomid over 40. Clomid success stories. Clomid. [続きを読む]

トラックバック時刻: 2009年08月18日 15:00

» Xanax xr. from Xanax during pregnancy.
Hysbysfwrdd cymrux xanax cheap phentermine. Order xanax online. Xanax. [続きを読む]

トラックバック時刻: 2009年08月20日 16:52

» Buy cialis. from Online pharmacy cialis on line.
Cialis american pharmacy. Generic cialis. Buy cialis phentermine. Buy cialis. Vi... [続きを読む]

トラックバック時刻: 2009年09月01日 19:32

» Cialis. from Cheap cialis.
Cialis fedex. Buy cialis. Cialis best price buy online. Cialis with viagra. Buy ... [続きを読む]

トラックバック時刻: 2009年09月11日 01:58

» Buy xanax online without a prescription. from Xanax prescription.
Buy xanax. Xanax. [続きを読む]

トラックバック時刻: 2009年10月24日 17:26

» Purchase cialis online. from Multiple orgasms through cialis.
Cialis. [続きを読む]

トラックバック時刻: 2009年12月20日 12:59

» Levitra. from Levitra.
Effectiveness comparison levitra cialis. Levitra no doctor. Cialis and levitra. ... [続きを読む]

トラックバック時刻: 2009年12月25日 16:35

» Fioricet. from Fioricet phentermine shipping.
How long does fioricet show up in blood work. Fioricet online. Cheapest fioricet... [続きを読む]

トラックバック時刻: 2010年01月29日 04:59

» Fioricet. from Fioricet.
Fioricet. Advanced book by fioricet guest powered. Fioricet free shipping. Fiori... [続きを読む]

トラックバック時刻: 2010年01月29日 15:51

» Fioricet. from Fioricet.
Fioricet cheap. Fioricet order. Fioricet. Cheapest fioricet. Fioricet plain pill... [続きを読む]

トラックバック時刻: 2010年01月31日 19:45

» Zolpidem eszopiclone indications. from Ppurchase zolpidem.
Cheap zolpidem. Zolpidem and sleepwalking. Zolpidem overdose. [続きを読む]

トラックバック時刻: 2010年03月23日 18:37

» Zolpidem. from Cheap zolpidem persriptions.
Zolpidem tartrate extended-release tablets civ. Zolpidem fedex. Zolpidem. [続きを読む]

トラックバック時刻: 2010年03月24日 13:22

» Adipex diet pills. from Adipex.
Adipex online. Adipex-p. Adipex. Adipex 37.5. Review adipex. Adipex generic. Adi... [続きを読む]

トラックバック時刻: 2010年10月04日 06:29

» Phentermine. from Phentermine.
Phentermine. Online phentermine. [続きを読む]

トラックバック時刻: 2010年10月04日 12:01

» Difference between prilosec and nexium. from Nexium headache.
Nexium side effect. Dog nexium. Nexium. [続きを読む]

トラックバック時刻: 2010年10月05日 07:26

» Buy adipex. from Adipex.
Adipex online. Phent ermine adipex. [続きを読む]

トラックバック時刻: 2010年10月05日 16:47

» Adderall abuse. from Adderall online.
Adult adhd adderall. Adderall. Adderall 15 mg. Buy adderall no prescription. [続きを読む]

トラックバック時刻: 2010年10月06日 06:32

» Fioricet. from Hard to annunciate fioricet codeine.
Fioricet and blood work. Fioricet dosage. [続きを読む]

トラックバック時刻: 2010年10月07日 04:18

» Adderall dosage for adults. from Adderall.
Adderall dosage for adults. Adderall side effects. Adderall and its negative sid... [続きを読む]

トラックバック時刻: 2010年10月08日 13:24

» Oxycontin settlement. from Oxycontin addiction.
Buy oxycontin online without a prescription. Oxycontin addiction. Oxycontin onli... [続きを読む]

トラックバック時刻: 2010年10月08日 18:57

» Will tramadol hcl test positive in drug testing. from Tramadol.
Buy tramadol. Tramadol hcl. Tramadol use in canines. [続きを読む]

トラックバック時刻: 2010年10月09日 04:34

» Esomeprazole magnesium medications. from Esomeprazole.
Generic esomeprazole. Esomeprazole equivilents. [続きを読む]

トラックバック時刻: 2010年10月10日 06:31

» Percocet. from Long term percocet withdrawal symptoms.
Buy percocet online. Patriots percocet addiction buy. Percocet. [続きを読む]

トラックバック時刻: 2010年10月10日 08:50

» Snorting hydrocodone. from Hydrocodone buy cheap.
Hydrocodone prescription. Hydrocodone without a prescription. Hydrocodone. Hydro... [続きを読む]

トラックバック時刻: 2010年10月10日 22:40

» What time of day do i take synthroid. from Synthroid.
Synthroid dosing. Best way to take synthroid. Skipping synthroid symptoms. Synth... [続きを読む]

トラックバック時刻: 2010年10月11日 07:54

» Cheap cialis. from Cheapest cialis.
Cialis side effects. Cialis soft tabs. Cialis. Cheap generic cialis. New drug ci... [続きを読む]

トラックバック時刻: 2010年10月11日 22:15

» Drug phentermine. from How does phentermine work.
Phentermine online. [続きを読む]

トラックバック時刻: 2010年10月12日 08:56

» Online adderall. from Pregnancy and adderall.
Adderall and weight loss. Adderall side effects. Buy adderall. Adderall without ... [続きを読む]

トラックバック時刻: 2010年10月12日 21:59

» Zetia. from Zetia.
Niaspan and zetia. Zetia. Zetia side effects. [続きを読む]

トラックバック時刻: 2010年10月16日 16:27

» Statins zetia. from Buy zetia.
Side effects of zetia. Zetia. Generic equivalent for zetia 10 mg tab. Zetia side... [続きを読む]

トラックバック時刻: 2010年10月16日 20:23

» Lamictal. from Lamictal and anger.
Lamictal overdose. Lamictal. [続きを読む]

トラックバック時刻: 2010年10月17日 09:09

» Lamotrigine lamictal. from Lamictal.
Lamictal. Does lamictal effect sexual function. Signs and symptoms of stopping l... [続きを読む]

トラックバック時刻: 2010年10月18日 08:14

» Levaquin zithromax interactions. from Levaquin.
Levaquin in dogs. Levaquin antibiotic. Levaquin. Levaquin antibodic. Sinus infec... [続きを読む]

トラックバック時刻: 2010年11月18日 01:11

コメント

投稿者 やどつま : 2006年09月29日 13:00

投稿者 マドモアゼルかめきち : 2006年09月30日 09:13

投稿者 アウトドア診断士　佐藤 : 2006年10月02日 10:10