ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

米Yahoo!の転職サイトにXSSの脆弱性、不正コードでcookie盗む

» 2008年10月29日 07時36分 公開
[ITmedia]

 米Yahoo!が運営する転職情報サービス「HotJobs」のWebサイトにクロスサイトスクリプティング(XSS)の脆弱性があり、ユーザー認証用のcookieが盗まれているのを見つけたと、英インターネットサービス企業のNetcraftが伝えた。

 Netcraftによると、Yahoo! HotJobsのサイトには、難読化されたJavaScriptが挿入され、yahoo.comに送られる認証cookieを盗んで攻撃側が運営する別のWebサイトに転送する仕掛けになっていた。盗んだ情報を使えば、攻撃者が被害者のYahoo! Mailなどのアカウントにアクセスできる。

 ユーザーは、yahoo.com上にある不正URLを閲覧しただけで被害に遭う恐れがあるが、画面上では空白のWebページが表示されるだけなので、自分のアカウントが乗っ取られたことには気付きにくいという。

 Netcraftはこの問題をYahoo!に知らせ、Yahoo!は10月27日までに、HotJobsサイトの脆弱性を修正したと伝えてきたという。

過去のニュース一覧はこちら

関連キーワード

Yahoo! | 脆弱性 | 認証 | XSS


Copyright © ITmedia, Inc. All Rights Reserved.