Skip to content
Permalink
Browse files

Add XSPA.md

  • Loading branch information...
No1zy committed Sep 4, 2018
1 parent 7f17b6b commit f96dc4762db886ccb6a8a75018a9ef6e47ba4cbf
Showing with 16 additions and 0 deletions.
  1. +1 −0 scope/README.md
  2. +15 −0 scope/XSPA.md
@@ -19,5 +19,6 @@
* [CSV Excel Macro Injection(CEMI)](CEMI.md)
* [PDF FormCalc Attack](PDFFormCalcAttack.md)
* [Tabnabbing.md](Tabnabbing.md)
* [Cross Site Port Attack (XSPA)](XSPA.md)

Copyright (C) Cybozu, Inc
@@ -0,0 +1,15 @@
# Cross Site Port Attack (XSPA)

## 脆弱性概要
クロスサイトポートアタック(以下、XSPA)とは、攻撃者が細工されたリクエストを送信することで、脆弱なWebアプリケーションを攻撃の踏み台にする手法です。
攻撃の対象は、外部のインターネット接続サーバー、内部ネットワークデバイス、およびWebアプリケーションが動作しているサーバー自体など、多岐にわたります。
攻撃者は、攻撃対象のレスポンスを解析することで、その可用性(ポートの状態、バナー情報など)を識別することが可能です。

## 脆弱性の認定可否
認定しない。

## 脆弱性として認定しない理由
サイボウズ製品が表示するエラーメッセージを利用したXSPAは、脆弱性として認定しません。「任意のホスト」「IPアドレス」「ポート番号」を指定できる機能が表示するエラーメッセージは、設定者が設定ミスを解決するための情報として表示しているからです。接続先の状態によって、エラーメッセージが表示されるまでの時間や内容が変化することは、仕様動作です。

## 参考資料
[XSPA : Cross Site Port Attack - INDIATRIKS](http://indiatriks.blogspot.com/2012/07/xspa-cross-site-port-attack.html)

0 comments on commit f96dc47

Please sign in to comment.
You can’t perform that action at this time.