「トリップ共有スクリプト」の版間の差分
ナビゲーションに移動
検索に移動
| 1行目: | 1行目: | ||
'''トリップ共有スクリプト'''(とりっぷきょうゆうすくりぷと)は、[[したらば掲示板]]に設置して閲覧者の[[トリップ]]を抜く為のJavaScriptである。 | '''トリップ共有スクリプト'''(とりっぷきょうゆうすくりぷと)は、[[したらば掲示板]]に設置して閲覧者の[[トリップ]]を抜く為のJavaScriptである。 | ||
| − | 「[[クロスサイトリクエストフォージェリ]] | + | 「[[クロスサイトリクエストフォージェリ]]」と言うらしい。現在ではブラウザ側の対応で正常に動作する例は限られるが、クリップボードデータに関する記述を除けばいけるかも? |
==仕組み== | ==仕組み== | ||
JavaScriptで見えないフォームをこっそり作成して、本文にCookieで取得したトリップキーとハンドルパスワードを入れて0×0のiframeの中で別のしたらば掲示板にサブミットするというもの。但し仕掛ける掲示板と同一にしてはいけない、無限ループすることになるからである。 | JavaScriptで見えないフォームをこっそり作成して、本文にCookieで取得したトリップキーとハンドルパスワードを入れて0×0のiframeの中で別のしたらば掲示板にサブミットするというもの。但し仕掛ける掲示板と同一にしてはいけない、無限ループすることになるからである。 | ||
2014年3月26日 (水) 15:18時点における最新版
トリップ共有スクリプト(とりっぷきょうゆうすくりぷと)は、したらば掲示板に設置して閲覧者のトリップを抜く為のJavaScriptである。 「クロスサイトリクエストフォージェリ」と言うらしい。現在ではブラウザ側の対応で正常に動作する例は限られるが、クリップボードデータに関する記述を除けばいけるかも?
仕組み[編集]
JavaScriptで見えないフォームをこっそり作成して、本文にCookieで取得したトリップキーとハンドルパスワードを入れて0×0のiframeの中で別のしたらば掲示板にサブミットするというもの。但し仕掛ける掲示板と同一にしてはいけない、無限ループすることになるからである。
応用[編集]
- リファラーとかクリップボードとか他の情報も抜く
- 名前やメールに特定の文字列があった場合は抜かないようにして、管理者は逃れる
- 逆にトリップ抜きたい人ピンポイントで抜く
- 仕掛ける掲示板を他人の掲示板にして閲覧者に荒らさせる(一定のアクセス数が必要)
- 仕掛ける掲示板をランダムにして閲覧者に宣伝させる
救世主かける様はかける様大学の掲示板にこれを設置してしたらば掲示板全体に宣伝を行い(行わせ)、結果来訪者は鼠算式に増加転送量オーバーと「かける様」の全体NGワード指定になった。「皆様、かける様大学というサイトをご存じですか?」はその宣伝文の冒頭。スクリプトを暗号化してソース見ても直ぐにはばれないようにもしていた。
被害者[編集]
- けんじさいはこれによりクリップボードデータも抜かれ、大阪府高槻市在住でペンマウスを買ったことがばれてしまった。
- まさと様、Borudoはハンドルパスワードと掲示板パスワードを同一にしていてハッカーされてしまった。
小ネタ[編集]
したらば掲示板のハンドルパスワード管理画面には「このハンドルパスワード と 掲示板管理パスワード を同一に設定する事は、セキュリティー上お勧め致しません。」と書かれている。トリップ共有スクリプトを意識したものと思われる。
