クロスドメインポスティング

Computer 1月 15, 2006
(Last Updated On: 2018年8月14日)

FirefoxがIFRAME内だとクロスドメインポストに警告を表示しない、という問題。

[Full-disclosure] Firefox 1.5 allow cross-domain posting to secured pages

just drop a hidden IFRAME in the form, set its src to username:password@123.com and Firefox is fooled into thinking that it is not a cross-domain posting. So no warning pops up. You can also drop the U/P on the URL in the forms action since the IFRAME has already logged in.

例としてデフォルトユーザ/パスワードのルータのFirewallを解除できるとしています。デフォルトユーザ/パスワードのままのルータは直接攻撃が可能なのですが、攻撃元を判り辛くするためにクラックしたWebサーバに攻撃用ページを作って、という事が考えられるかな。

投稿者: yohgaki