クライアントサイドã®å·¨å¤§ãªã‚¯ãƒƒã‚ーã¨ã‚µãƒ¼ãƒãƒ¼ã‚µã‚¤ãƒ‰ã®ãƒ˜ãƒƒãƒ€ãƒ¼ã‚µã‚¤ã‚ºåˆ¶é™ã®çµ„ã¿åˆã‚ã›ã«ã‚ˆã‚‹DoSã«ã¤ã„ã¦
ã‚‚ã†10年以上å‰ã®ãƒã‚¿ãªã®ã§ã™ãŒã€ã„ã¾ã ã«æœ‰åŠ¹ã ã—ã€æœ€è¿‘ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚’扱ã£ã¦ã„ãªã„ãªã‚‰XSSãŒã‚ã£ã¦ã‚‚ã‚ã¾ã‚Šå•é¡Œãªã„ã¨ã„ã†æ„見を見るã“ã¨ãŒã‚ã‚‹ã®ã§ã€ã‚µãƒ¼ãƒ“スæä¾›å´ã¨ã—ã¦æ¡ˆå¤–é¢å€’ãªã“ã¨ã«ãªã‚‹å ´åˆãŒã‚ã‚‹ã€ã¨ã„ã†è©±ã‚’書ãã¾ã—ãŸã€‚
POCã§ã™ã€‚
http://www.udp.jp/misc/largecookiedos.html
内容ã¨ã—ã¦ã¯ã€
- JavaScriptã‹ã‚‰å·¨å¤§ãªCookieをブラウザã«è¨å®šã§ãã‚‹
- HTTPサーãƒãƒ¼ã¯å—ã‘å–れるHTTPヘッダーサイズã®ä¸Šé™ã‚’æŒã£ã¦ã„ã¦ã€ãれを超ãˆã¦ã„ãŸå ´åˆã«Bad Requestã‚’è¿”ã™
- 1ã«ã‚ˆã£ã¦2を超ãˆã‚‹ã‚µã‚¤ã‚ºã®CookieãŒè¨å®šå¯èƒ½ãªå ´åˆãŒã‚る(ãŸã¶ã‚“ã»ã¨ã‚“ã©ã®å ´åˆå¯èƒ½ï¼‰
- よã£ã¦XSSãªã©ã«ã‚ˆã£ã¦å·¨å¤§ãªCookieã‚’è¨å®šã•ã‚Œã‚‹ã¨ä»¥é™ã‚µãƒ¼ãƒ“スãŒåˆ©ç”¨ã§ããªããªã‚‹
ã¨ã„ã†ã‚‚ã®ã§ã™ã€‚
Cookieã®æœ‰åŠ¹æœŸé™ã‚’何åå¹´ã‚‚è¨å®šã•ã‚Œã‚‹ã¨ãƒ¦ãƒ¼ã‚¶ãƒ¼å´ã§å‹æ‰‹ã«å›žå¾©ã™ã‚‹ã“ã¨ã¯æœŸå¾…ã§ããªã„ã®ã§ã€ãªã‚“らã‹å¯¾å¿œãŒå¿…è¦ã«ãªã‚‹ã¨æ€ã„ã¾ã™ã€‚
昔ã¯ã€CGIãƒãƒ£ãƒƒãƒˆã«æ¥ã‚‹æŽ²ç¤ºæ¿è’らã—ãŒã“ã†ã„ã†ã‚¹ã‚¯ãƒªãƒ—トを張り付ã‘ã¦åˆ©ç”¨è€…を追ã„出ã—ãŸã‚Šã—ã¦ã„ã¾ã—ãŸã€‚
XSSã¯ã¤ã‚‰ã„å•é¡Œã ã¨æ€ã„ã¾ã™ã€‚
家宅捜索されることもあるらã—ã„ã®ã§æ°—を付ã‘ã¾ã—ょã†ã€‚
