クロスサイト・クッキング
ご協力下さい!!
◇暇つぶし何某◇

[Wikipedia|▼Menu]
クロスサイト・クッキングでは攻撃者はブラウザのバグを悪用し、不正なクッキーをサーバに送る

クロスサイト・クッキング(Cross-site cooking)はサイトを攻撃する者にブラウザ用のクッキーを別のサイト・サーバのクッキー・ドメインにセットすることを許すブラウザクラッシャーの一つである。

クロスサイト・クッキングは悪意のあるサイトが別のサイトのセッション識別子cookieを定着しうるようなSession fixation攻撃を実行する為に利用される。

他の攻撃シナリオの可能性は、例えば攻撃者がサーバのセキュリティ脆弱性を知る場合であり、それはクッキーを利用した攻撃が可能である。しかし、このセキュリティ脆弱性が例えば攻撃者の知らない管理者のパスワードを必要とする場合はクロスサイト・クッキングは通常の利用者をだましてその者が意図しないまま攻撃を実行させるように利用できる。


目次

1 クロスサイト

2 起源

3 脚注

4 外部リンク


クロスサイト

クロスサイト・クッキングはデータかコードを異なるウェブ・サイト間(もしくは場合によっては電子メール/インスタント・メッセージとサイトの間)で移動させる能力をもったクロスサイトスクリプティングクロスサイトリクエストフォージェリ、Cross-site tracing、Cross-zone scriptingなどと概念で類似している。 これらの問題は、ウェブブラウザが異なる情報/アプリケーション/サイトのための共通プラットホームであるということと関係している。ブラウザによって維持される論理的セキュリティの境界だけがあるサイトが別のサイトを破壊したり、そこからデータを盗むことができないことを保証する。 しかし、クロスサイト・クッキングのようなブラウザクラッシャーは論理的セキュリティの境界をまたいでものを移動させることができる。
起源

クロスサイト・クッキングの名称とその概念は2006年マイケル・ザレウスキーによってもたらされた[1]。 名前はクッキーとクロスサイトを合わせたものでサイト間でクッキーが設定される性質を表現しようとした。2006年のマイケル・ザレウスキーの記事では、1998年5月にクッキー・ドメインが関係した脆弱性をベンダーに報告したベンジャミン・フランツはかれの発見について信用されることになった。ベンジャミン・フランツはその脆弱性を発表し、主に人気のあるブラウザで「プライバシー保護」のメカニズムを回避するための方法として議論した。 マイケル・ザレウスキーは8年後、そのバグがいくつかのブラウザに未解決のまま存在し、クロスサイト・クッキングに悪用されることが可能であるとの結論を出した。 「ベンダーはこれを修正しようと急いではいない」など、いろいろな発言がザレウスキーや他からもなされた。
脚注^@police-世界のセキュリティ事情

外部リンク

Cross-Site Cooking article by Michal Zalewski. Details concept, 3 bugs which enables Cross Site Cooking. One of these bugs is the age old bug originally found by Benjamin Franz.










脆弱性、攻撃手法、エクスプロイト
クロスサイト攻撃

クロスサイトリクエストフォージェリ(CSRF)

クロスサイトスクリプティング(XSS)

クロスサイト・クッキング

クロスサイトトレーシング(英語版)

クロスゾーンスクリプティング(英語版)

インジェクション攻撃(CWE-74)

クロスサイトスクリプティング(XSS)(CWE-79)

SQLインジェクション(CWE-89)

HTTPヘッダ・インジェクション・HTTPレスポンススプリッティング(英語版)(CWE-78)

書式文字列攻撃(CWE-134)

スプーフィング攻撃

DNSスプーフィング

IPスプーフィング

ARPスプーフィング

クリックジャッキング(CAPEC-103)

リファラスプーフィング(英語版)

Eメールスプーフィング(英語版)

フィッシング(CAPEC-98)

ファーミング(CAPEC-89)

セッションハイジャック関連

セッションフィクセーション(CWE-384,CAPEC-61)

セッションポイズニング(英語版)(CWE-113)

TCPシーケンス番号予測攻撃

クッキーモンスター攻撃(英語版)

DoS攻撃

Land攻撃

クリアチャネル評価攻撃(英語版)

サイドチャネル攻撃

コールドブート攻撃(英語版)

不適切な入力確認(CWE-20)

バッファオーバーラン(CWE-119,120,121等)

Return-to-libc攻撃

ディレクトリトラバーサル(CWE-22)


◇ピンチです!◇
★暇つぶし何某★

[次ページ]
[記事の検索]
[おまかせリスト]
[ブックマーク登録]
[mixiチェック!]
[Twitterに投稿]
[オプション/リンク一覧]
[話題のニュース]
[列車運行情報]
[暇つぶしWikipedia]

Size:11 KB
出典: フリー百科事典『ウィキペディア(Wikipedia)
担当:FIRTREE