Skip to content

Commit

Permalink
Add XSPA.md
Browse files Browse the repository at this point in the history
  • Loading branch information
@No1zy
No1zy committed Sep 4, 2018
1 parent 7f17b6b commit f96dc47
Show file tree
Hide file tree
Showing 2 changed files with 16 additions and 0 deletions.
1 change: 1 addition & 0 deletions scope/README.md
View file
Expand Up @@ -19,5 +19,6 @@
* [CSV Excel Macro Injection(CEMI)](CEMI.md)
* [PDF FormCalc Attack](PDFFormCalcAttack.md)
* [Tabnabbing.md](Tabnabbing.md)
* [Cross Site Port Attack (XSPA)](XSPA.md)

Copyright (C) Cybozu, Inc
15 changes: 15 additions & 0 deletions scope/XSPA.md
View file
@@ -0,0 +1,15 @@
# Cross Site Port Attack (XSPA)

## 脆弱性概要
クロスサイトポートアタック(以下、XSPA)とは、攻撃者が細工されたリクエストを送信することで、脆弱なWebアプリケーションを攻撃の踏み台にする手法です。
攻撃の対象は、外部のインターネット接続サーバー、内部ネットワークデバイス、およびWebアプリケーションが動作しているサーバー自体など、多岐にわたります。
攻撃者は、攻撃対象のレスポンスを解析することで、その可用性(ポートの状態、バナー情報など)を識別することが可能です。

## 脆弱性の認定可否
認定しない。

## 脆弱性として認定しない理由
サイボウズ製品が表示するエラーメッセージを利用したXSPAは、脆弱性として認定しません。「任意のホスト」「IPアドレス」「ポート番号」を指定できる機能が表示するエラーメッセージは、設定者が設定ミスを解決するための情報として表示しているからです。接続先の状態によって、エラーメッセージが表示されるまでの時間や内容が変化することは、仕様動作です。

## 参考資料
[XSPA : Cross Site Port Attack - INDIATRIKS](http://indiatriks.blogspot.com/2012/07/xspa-cross-site-port-attack.html)

0 comments on commit f96dc47

Please sign in to comment.