アカウント名:
パスワード:
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、この話題のひとは、通報後もはひたすら攻撃し続けたらしい。直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
意味が分からん。XSSの攻撃シナリオでは、XSSの細工をされたURLへアクセスをするのは、「攻撃者」じゃなくて「被害者」でしょ?その理屈からなんで、「被害者」をブロックする対策を行ったの?
っていうかXSSのアクセスが大量にあったって、それは既にXSSを使った攻撃シナリオに組み込まれていて、細工したURLが掲示版とかに貼られているからだったりしないの?「既に攻撃者にサーバを利用されている状態」だったりしないの?
XSSのURLへアクセスしてきたIPアドレスが全て同一で、それがこの人のIPアドレスだった、ということなんだろうか?
# ソースも何もなく「中の人に聞いた」って書き込みを真に受けても仕方ないけど# 反論があるなら、そのうちベネッセのサイトに掲載されるかもね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
確認してみた (スコア:1, 参考になる)
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。
つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
Re:確認してみた (スコア:1)
意味が分からん。
XSSの攻撃シナリオでは、XSSの細工をされたURLへアクセスをするのは、
「攻撃者」じゃなくて「被害者」でしょ?
その理屈からなんで、「被害者」をブロックする対策を行ったの?
っていうかXSSのアクセスが大量にあったって、それは既に
XSSを使った攻撃シナリオに組み込まれていて、細工したURLが
掲示版とかに貼られているからだったりしないの?
「既に攻撃者にサーバを利用されている状態」だったりしないの?
XSSのURLへアクセスしてきたIPアドレスが全て同一で、
それがこの人のIPアドレスだった、ということなんだろうか?
# ソースも何もなく「中の人に聞いた」って書き込みを真に受けても仕方ないけど
# 反論があるなら、そのうちベネッセのサイトに掲載されるかもね