「Reddit(reddit.com)」は、DiggやSlashdotよりもさらに素晴らしいソーシャル・ニュースWebサイトだ。
しかし、同サイトは今日、サイト上のコメントを介して広がるXSSワームに攻撃を受けた。
すべては、「xssfinder」という似合いな名のユーザーから始まった。
彼のアカウントはすでに削除されている。
このユーザーは、ユーザーがマウスをテキスト上で動かしている際、Redditがある種の事例でJavaScriptをフィルタリングしていなかったという事実を利用して、テスト・コメントを何度か投稿した。
xssfinderは自身のスクリプトを機能させる際、「Guy on a bike in New York 'high fives' people hailing cabs」というポピュラーなリンクに、コメントを投稿することでテストを行った。
その後、状況はただちに変化した。
コメントを読んだ人たちは、Redditスレッドに大量の新しいコメントを送信することになったのだ。
現在、状況は落ち着いた。Redditはダウンせず、Redditの管理者はこの脆弱性をクローズした。悪意あるコメントは、現在多数削除されている。
しかし、同サイトは今日、サイト上のコメントを介して広がるXSSワームに攻撃を受けた。
すべては、「xssfinder」という似合いな名のユーザーから始まった。
彼のアカウントはすでに削除されている。
このユーザーは、ユーザーがマウスをテキスト上で動かしている際、Redditがある種の事例でJavaScriptをフィルタリングしていなかったという事実を利用して、テスト・コメントを何度か投稿した。
xssfinderは自身のスクリプトを機能させる際、「Guy on a bike in New York 'high fives' people hailing cabs」というポピュラーなリンクに、コメントを投稿することでテストを行った。
その後、状況はただちに変化した。
コメントを読んだ人たちは、Redditスレッドに大量の新しいコメントを送信することになったのだ。
現在、状況は落ち着いた。Redditはダウンせず、Redditの管理者はこの脆弱性をクローズした。悪意あるコメントは、現在多数削除されている。
