XSS脆弱性
最近、運用職なのにwebアプリの開発が気になるkero4(本気で異動願い書いてみるか)です。
2月4日にはてなでも「ぼくはまちちゃん!」が大発生したそうです。
この作者のサイト*1を見たけどmixiやはてなのバグをついて面白いことをやってますね。
あくまでネタとしてやっていますが、十分破壊力がありますし、もっと悪用しようと思えば悪用できるバグですからねぇ。。。
たとえばアフィリエイトなんかと組み合わせると面白いことになりそうですけどw
でもまあ、こういったバグはJPCERT/CCなんかに届けるべきなんでしょうけどね。。。
ただし正規の手順を踏むと時間がかかるってこともありますけど。
こういった被害の少ないゼロデイアタックを試みることで企業の対応を促すって手段も強引だけどアリなのかなぁ?
しかし、セキュリティとかwebアプリとか調べると本当に面白いなぁ。。。
秋の情報処理試験は上級シスアド狙ってたけど、情報セキュアドに走ってみてもいいかもしれないね。。。