HTMLフォームのウェブページにある脆弱性を指摘(ドイツ) | ScanNetSecurity
2021.04.22(木)

HTMLフォームのウェブページにある脆弱性を指摘(ドイツ)

 ドイツのコンピュータ・プログラマーJochen Topf氏は“悪意あるハッカーが一見普通のウェブページを使用して、企業のファイアウォールのような防護壁の背後に設置されたサーバにコマンドを送ることが可能”とする論文を発表した。“HTMLフォーム・プロトコル攻撃”と題

国際 海外情報
 ドイツのコンピュータ・プログラマーJochen Topf氏は“悪意あるハッカーが一見普通のウェブページを使用して、企業のファイアウォールのような防護壁の背後に設置されたサーバにコマンドを送ることが可能”とする論文を発表した。“HTMLフォーム・プロトコル攻撃”と題する論文によると、攻撃者は一般に普及されているウェブ・ブラウザを悪用して秘密裏にそのブラウザのサーバにコマンドを送ることができる。

 その攻撃手法は、訪問者がオンライン・フォームに入った情報を取り込むために使用されるのと同じHTMLベース技術を用いる。正当なウェブページの場合、フォームを定義する全てのHTMLコードは、通常ウェブページ自身をホスティングしている同じサーバ上で動作するアプリケーションにユーザの要求を送る。しかし、同氏の指摘によると、フォーム・プロトコル“attacker”は、攻撃者のHTMLを符号化してその送られたデータを他のサーバに転送し、そして電子メール(SMTPとPOP3)、インターネット・チャット・リレー(IRC)、FTP(ファイル転送プロトコル)などのサービスに関連するTCP(伝送制御プロトコル)ポートを明示することも可能となる。

 前述のような攻撃手法が大規模な攻撃に使用される危険性は低い、とTopf氏は説明している。しかし、悪意あるハッカーがインターネット・ワームのような他の悪質なコードを埋め込み、そして自身の発信源を隠蔽するための有効な方法となり得ると警告した。さらに同氏はウェブ・ブラウザ用ソフトウェアの作成者に対し、脆弱の恐れがあるインターネット・サービスに関連するTCPポートへのフォーム・データの伝送をアプリケーションが確実に拒否するよう設計することを推奨し、そしてサーバ・ソフトウェアの開発者に対し、アプリケーションが受け取るデータのタイプに関し、より厳密に選択するようアプリケーションを設計すべきだと提言した。

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×