Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Showing
2 changed files
with
16 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,15 @@ | ||
# Cross Site Port Attack (XSPA) | ||
|
||
## 脆弱性概要 | ||
クロスサイトポートアタック(以下、XSPA)とは、攻撃者が細工されたリクエストを送信することで、脆弱なWebアプリケーションを攻撃の踏み台にする手法です。 | ||
攻撃の対象は、外部のインターネット接続サーバー、内部ネットワークデバイス、およびWebアプリケーションが動作しているサーバー自体など、多岐にわたります。 | ||
攻撃者は、攻撃対象のレスポンスを解析することで、その可用性(ポートの状態、バナー情報など)を識別することが可能です。 | ||
|
||
## 脆弱性の認定可否 | ||
認定しない。 | ||
|
||
## 脆弱性として認定しない理由 | ||
サイボウズ製品が表示するエラーメッセージを利用したXSPAは、脆弱性として認定しません。「任意のホスト」「IPアドレス」「ポート番号」を指定できる機能が表示するエラーメッセージは、設定者が設定ミスを解決するための情報として表示しているからです。接続先の状態によって、エラーメッセージが表示されるまでの時間や内容が変化することは、仕様動作です。 | ||
|
||
## 参考資料 | ||
[XSPA : Cross Site Port Attack - INDIATRIKS](http://indiatriks.blogspot.com/2012/07/xspa-cross-site-port-attack.html) |