現在地 HOME > 掲示板 > IT5 > 170.html ★阿修羅♪ |
|
Tweet |
IEのフレーム悪用でパスワード漏れ――iDEFENSEが警告【クロスサイトならぬクロスフレームスクリプティングだそうで】
Googleで Cross Site Scriptingなら検索で沢山情報が出てきますが、Cross Frame Scriptingだとあまりデータが出てこないですね。
【セキュリティーホールmemoに出てたメモ】です。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20040303
IEのフレーム悪用でパスワード漏れ――iDEFENSEが警告
(ITmedia, 2004.03.01)
IE 5 / 6 の欠陥。異なるドメインに所属するフレームにおいて、あるフレームから別のフレームのキー入力を JavaScript を使って取得することができてしまう、という話。 元ネタ: iDEFENSE Security Advisory 02.27.04b: Microsoft Internet Explorer Cross Frame Scripting Restriction Bypass。 フレーム内に本物が貼り込まれたニセサイトを構築し、ユーザを誘い込んで利用させた上で、他のフレームからキー入力 (= パスワードやクレジットカード番号等) を盗み取る、といった攻撃が考えられる。 iDEFENSE Advisory には、ニセサイトに貼り込まれることを検出するスクリプト例も記載されている。
hotfix ではなく「将来の Service Pack」で修正されるのだそうだ。