ニュース
» 2007年06月21日 12時45分 公開

Yahoo! Mail乗っ取りのコンセプト実証コード出現

Trend Microによると、「Yahoo! Mail」を標的としたXSS攻撃のコンセプト実証コードが発見された。

[ITmedia]

 「Yahoo! Mail」を標的としたクロスサイトスクリプティング(XSS)攻撃のコンセプトを実証するコード(PoC)が発見された。セキュリティ企業のTrend Microが6月20日のブログで伝えている。

 それによると、攻撃コードは2つのコンポーネントで構成される。Perlで書かれたCGIスクリプトのコンポーネントはWebサーバにインストールされ、そのサーバでホスティングされているWebページをユーザーが閲覧するたびに実行される。このCGIスクリプトのパスを、もう1つのコンポーネントであるURL生成モジュールで解析し、Yahoo!のURLを付加して新しいURLを生成する。

 生成されたURLを、一見無害なものに見せかけたメールなどで送って攻撃に利用。ユーザーがリンクをクリックすると、そのユーザーのYahoo!アカウントが盗まれてしまう仕組みだ。

 Trend Microによると、今回ののPoCではユーザーの受信箱にあるメールをYahoo!のドメイン外にあるWebページに表示することしかできない。しかし、リンクをクリックするだけでWebメールアカウントが乗っ取られ得るということが、これで実証されたと解説している。

関連キーワード

CGI | 脆弱性 | Webメール | Yahoo!


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -