ApacheのサーバがXSSでセッションハイジャック、パスワード流出の可能性(Apache) | ScanNetSecurity
2024.07.27(土)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

ApacheのサーバがXSSでセッションハイジャック、パスワード流出の可能性(Apache)

Apacheの「Apache Infrastructure Team」ブログによると、バグトラッキングソフト「JIRA」をホスティングしているサーバにターゲット攻撃が発生した。これは4月5日、同サーバの管理者が「ive got this error while browsing some projects in jira (tinyurl.com/XXXXXX

製品・サービス・業界動向
Apacheの「Apache Infrastructure Team」ブログによると、バグトラッキングソフト「JIRA」をホスティングしているサーバにターゲット攻撃が発生した。これは4月5日、同サーバの管理者が「ive got this error while browsing some projects in jira (tinyurl.com/XXXXXXXXXへのリンク) 」というメッセージのURLをクリックしたことが原因で、このTinyURLを使った短縮URLにはクロスサイトスクリプティング(XSS)によってセッションを含んだCookieを盗む攻撃コードが仕込まれていた。この罠を含んだリンクをJIRAの管理者がクリックしたことで、管理者権限を含んだセッションが攻撃者に奪われ侵入された可能性がある。

また、それと同時に攻撃者は、JIRA login.jspに対するブルートフォース攻撃を実施し、4月6日にはJIRAアカウントのパスワードを推測する攻撃を行った。このどちらかの攻撃が成功したことにより管理者権限が奪われ侵入されてしまった。この攻撃により、JIRA、Bugzilla、Confluenceユーザのハッシュ化されたパスワードが流出した可能性があるとして、ユーザに注意喚起を発表している。なお、サービスは4月10日までに復旧しているという。

https://blogs.apache.org/infra/entry/apache_org_04_09_2010
《ScanNetSecurity》

特集

クロスサイトスクリプティング( XSS:Cross site scripting )

製品・サービス・業界動向 アクセスランキング

  1. 度を超えたハラスメント行為者 セガ従業員に損害賠償支払い

    度を超えたハラスメント行為者 セガ従業員に損害賠償支払い

  2. マクニカネットワークスが忘れない CrowdStrike 三つのエピソード

    マクニカネットワークスが忘れない CrowdStrike 三つのエピソード

  3. 大阪の奇跡「純国産SOCサービス」セキュアヴェイル、垂直統合までの20年

    大阪の奇跡「純国産SOCサービス」セキュアヴェイル、垂直統合までの20年

  4. GMOイエラエ、カルチャーデック公開

  5. 日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

  6. ExcelおよびPowerPointのセキュリティ機能をかいくぐるマクロについて警告(マイクロソフト)

  7. 遠隔制御中のパソコン画面に透かし文字を表示、画面盗撮やPCの画面キャプチャでの漏えいを防止

  8. 「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

  9. クラウドストライクとゼットスケーラーがグローバル戦略パートナーシップを拡大

  10. イエラエセキュリティ、日本語で米国Offensive Security社との共同資格取得コースを提供

アクセスランキングをもっと見る

Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×