04.12.07
■  ヤフーからの通知を装った日本語フィッシングで何が起きていたか   [ その他の情報 ]
高木浩光@自宅の日記」の記事。 XSS脆弱性と言っても以前騒がれてたアドレスバー偽装ではなくて、Javascript + 100%frameset を使う方法みたい。具体的には Webmail 内に document.write で framset タグを書き込む。すると、Webmail を見たアドレス(この場合は Yahoo!Mail のアドレス)がアドレスバーに残ったまま frameset で指定された先のサイトが表示されることになる。 でここで ID と PASS 入れろやとか言ってくるわけんだが本物のパスワードかどうかをチェックするためにわざわざ本家 Yahoo に飛ばして一回チェックするという手の込みようですよ。 見破るには「ソースを見てみる」、「ページ中央付近を右クリック→プロパティ」して本当のアドレスを確認する、等があるわけなんだが、いきなりじゃ気づかないよなあ。 そもそもの原因をなしているのは Yahoo!Mail 上の HTML Mail で JavaScript が実行できちゃうとこなんだが Yahoo の見解は「お客さまの個人情報をEメールでお伺いすることはありません」、と・・・。
過去ログ
2004  |  12  |  11  |  10  |  09  |  08  |  07  |  06  |  05  |  04  |  03  |  02  |  01 
2003  |  12