Permalink
Switch branches/tags
Nothing to show
Find file Copy path
Fetching contributors…
Cannot retrieve contributors at this time
15 lines (11 sloc) 1.36 KB

Cross Site Port Attack (XSPA)

脆弱性概要

クロスサイトポートアタック(以下、XSPA)とは、攻撃者が細工されたリクエストを送信することで、脆弱なWebアプリケーションを攻撃の踏み台にする手法です。 攻撃の対象は、外部のインターネット接続サーバー、内部ネットワークデバイス、およびWebアプリケーションが動作しているサーバー自体など、多岐にわたります。 攻撃者は、攻撃対象のレスポンスを解析することで、その可用性(ポートの状態、バナー情報など)を識別することが可能です。

脆弱性の認定可否

認定しない。

脆弱性として認定しない理由

サイボウズ製品が表示するエラーメッセージを利用したXSPAは、脆弱性として認定しません。「任意のホスト」「IPアドレス」「ポート番号」を指定できる機能が表示するエラーメッセージは、設定者が設定ミスを解決するための情報として表示しているからです。接続先の状態によって、エラーメッセージが表示されるまでの時間や内容が変化することは、仕様動作です。

参考資料

XSPA : Cross Site Port Attack - INDIATRIKS