SohuビデオのXSS脆弱性がハッカーに悪用され、ビデオユーザーが危険にさらされた

A5 Webmaster Network (www.admin5.com) は 4 月 30 日に次のように報じました。最近、DDoS 保護を提供する企業 Incapsula は、世界第 27 位の Web サイトである Sohu.com の XSS クロスサイト スクリプティングの脆弱性が、大規模なボットネット DDoS 攻撃の原因になったことを明らかにしました。

写真はインターネットから

インターネットの急速な発展に伴い、人々はネットワークセキュリティに対する警戒を高めるよう求められています。昨日4月29日は「首都ネットワークセキュリティデー」に制定されました。ネットワークセキュリティを提唱する声が薄れ始めた頃、ハッカーはSohu VideoのXSS脆弱性を悪用し、大規模なDDoS攻撃を仕掛けました。 Sohu Video の XSS クロスサイトスクリプティング脆弱性が、ハッカーが Sohu.com のストレージ インジェクション ポイントを制御していたために、大規模なボットネット DDoS 攻撃の原因になったとみられています。攻撃者は脆弱性を悪用し、Sohu Video のユーザー アバター タグに JavaScript コードを挿入しました。その後、攻撃者は多数の動画にコメントを投稿し、各コメントに悪意のあるコードを添付しました。ユーザーが悪意のあるコードを含むこれらのページにアクセスすると、コードが実行され、別のコード インジェクションと Ajax スクリプト DDoS ツールがトリガーされ、ユーザーのブラウザに指示が発行され、1 秒に 1 回の頻度でターゲットの攻撃 Web サイトにリクエストが送信されます。

1秒に1回という頻度は高くないように見えるかもしれないが、Sohuユーザーの多さと、ウェブサイト上の人気動画ファイルの比較的長い再生時間を考えると、結果として生じるDDoS攻撃は恐ろしいものだ。調査によると、この大規模なDDoS攻撃は、史上最大のXSSクロスサイトDDoS攻撃になる可能性がある。

原題: SohuビデオのXSS脆弱性がハッカーに悪用され、ビデオユーザーが危険にさらされる

キーワード: Sohu、Sohu Video、XSS 脆弱性、ハッカー