多くの Trackback サーバの実装に関して、容易に Trackback SPAM のターゲットにできる脆弱性が存在しますので、内容と回避法についてアナウンスします。
Tatsuhiko Miyagawa -- miyagawa at bulknews.net
Trackback サーバを実装しているすべてのソフトウェア、Web サイト。
悪意のあるスパマーは、ウェブサイトのビジターのマシンから javascript を使って Trackback Ping SPAM を送らせることができる (DDoS 的であると言える)。
exploit は JavaScript を使用し、悪意のないビジターに SPAM ping を送らせることができるため、クライアントの IP を Ban することでは防ぐことはできない。この exploit を XSS (クロスサイトスクリプティング) 脆弱性と組み合わせると、事態はより深刻となる。
この exploit が可能な理由は、Trackback は普通のブラウザから POST メソッドで送信でき、また Trackback 送信元のなりすましを防ぐことができないプロトコルであるためである。
Trackback スパマーはフォームを使用して Trackback を送信する JavaScript コードを自分のウェブページ、もしくは XSS 脆弱性を持つ他のウェブページに表示させる。ビジターがこのコードを開くと、ブラウザやOSがクラッシュするまで、大量の Trackback Ping を送信しつづける。このようにして Trackback Ping はビジターのマシンから送信されるため、IP Banning は解決法にはならない。
1. については Movable Type 2.661 以降などでは同一の IP アドレスからの短期間内の連続 Ping を拒否するオプションが用意されている。これを利用すればプロキシサーバ経由でのプログラムによる連続投稿なども(2発目以降を)拒否することができる。
一例として 3,4 を Apache モジュールの mod_rewrite で実装すると以下のようになる(サンプル内の mt-tb.cgi は、使用しているシステムの Trackback スクリプト名に変更する必要がある)。この対策には一部のユーザからの Trackback Ping を拒否してしまう副作用があることを理解した上で利用していただきたい。
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} mt-tb\.cgi
RewriteCond %{HTTP_REFERER} .+ [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mozilla/
RewriteRule (.*) - [F,L]
mod_rewrite版の場合ですが、「http://blog.bulknews.net/mt/mt-tb/1165」のように「.cgi」を除外したものをTrackback URLとして利用すると、exploitできてしまうはずです。
Posted by: (o) on August 7, 2004 01:32 AMえーと、ですので mt-tb.cgi は利用しているスクリプト名に変更する必要がある、と書いているつもりですが、はずしてますか?
Posted by: miyagawa on August 7, 2004 03:50 AM説明不足でした。
Options +MultiViewsとしているとき、mt-tb.cgiはmt-tbでもアクセスできる場合がありますから、
「利用しているスクリプト名」だけでは不十分な場合がある、とこういうことです。
infoseek.co.jpのようにJavascriptでしかTrackback送信を利用できないサイトもあるので、3〜5の解決方法はかなり寂しいです。せっかくTrackbackを送れるサイトが増えてきているのに。
例えば1の「重複IPをチェックする方法」と「Trackback URL中に1度しか使用できない識別子を埋め込む方法」を併用してはどうでしょうか。
今はトラックバックによる大きな問題が発生しているというよりは、コメントスパムが問題になっていて、トラックバックスパムも送られ始めているという状況と認識しております。
私も含め今既にスパム被害にあっていて、日々対策を検討していたような人にとって、いまいち良く分からないが、ブログ凄腕の人たちが問題にしている、この件については、何らかの対応をしなくてはいけないと考えるのは自然な動きと思います。
が、それに伴う弊害も多く、トラックバックを送れなくなっているところもあります。
その原因は3,4の対策がJavaScriptを使ったトラックバックをブロックしてしまう為です。
しかし、どうも調べてみると、3、4の対策をすり抜けるトラックバック送信ページが存在します。で、3,4を実装された結果、トラックバックを送れなくなった人はそういうトラックバック送信ページを使うしかなくなります。
私もそうせざるを得ないと思っております。
でも、良く考えるとなんかおかしいです。
というのは、3,4が対策にならない送信方法があるので、スパマーはそのページで採用している方法で送ればいいんですから、3、4は対策にはなっていないのではないか?という事です。
この認識は間違っているでしょうか?
まあ、3についてはまだ良く理解出来ていないけど、対策しておかないと問題ありそうな気はしますが、4は弊害の方が大きいのではないかと、そんな気がします。
> というのは、3,4が対策にならない送信方法があるので、スパマーはそのページで採用している方法で送ればいいんですから、3、4は対策にはなっていないのではないか?という事です。
> この認識は間違っているでしょうか?
3, 4 が対策にならない送信方法とは、tb-standalone のようなCGIスクリプトツールをサーバサイドにいれて、送信する方法です。これと同様の手法を使う場合、特定のサーバのIPから送信されることになるため IP Banning が有効になります。
今回指摘している問題および対策方法は、JavaScript を使用して、スパマーが、そうでない人に Ping SPAM を送らせることができる、ということになるので、3, 4がその対策になります。
Trackback 送信ができない Blog ツールあるいはホスティングサーバの場合については、ぶろっぐぴんぴんなどのソフトや、Free Trackback のようなサービスを使われるのがよいかとおもいます。(ぶろっぐぴんぴんは Mozilla を名乗るようなのでちょっと悩ましいですね。User-Agent を変更してもらうほうがよいかもしれません)
Posted by: miyagawa on August 9, 2004 07:22 PM>3, 4 が対策にならない送信方法とは、tb-standalone のようなCGIスクリプトツールをサーバサイドにいれて、送信する方法です。
>これと同様の手法を使う場合、特定のサーバのIPから送信されることになるため IP Banning が有効になります。
私はkyoさんが作られたblosxomスターターキットというのを使っております。
IP Banningというのは、特定のIPアドレスからくるものをブロックする機能だと思いますが、その機能はblosxomスターターキットには標準では無いので、
blacklistプラグインなどを導入するとかしないと3、4だけではやはり対策として不足ですね。
それはまたIPアドレスをどうやって調べるのかとか、ブログ初心者は良く分からないと思いますので、そのケアも必要でしょう。
(blosxomスターターキットでは多分何か改造しないと調べれないと思います。)
>今回指摘している問題および対策方法は、JavaScript を使用して、スパマーが、そうでない人に Ping SPAM を送らせることができる、ということになるので、3, 4がその対策になります。
これは、 XSS 脆弱性を持つ他のウェブページからJavaScript を使用してトラックバックを送らせるという事を言っていると思いますが、
逆に言えば、XSS 脆弱性を持たなければ3、4の対策は不要という事になりますか?
blosxomスターターキットではkyoさんが、「サニタイズ」の実装をしていらっしゃいますので、これでXSS 脆弱性が取れるなら、3,4の実装は不要?
この実装後もまだ脆弱性が取残ってたとしても、webページからJavaScriptで送る場合にはリファラが必ずついてしまう様に思うんで、3だけを実装し、
4を削除で問題ないのではないでしょうか?(実は今そういう実装にしております。)
>Trackback 送信ができない Blog ツールあるいはホスティングサーバの場合については、ぶろっぐぴんぴんなどのソフトや、Free Trackback のようなサービスを使われるのがよいかとおもいます。(ぶろっぐぴんぴんは Mozilla を名乗るようなのでちょっと悩ましいですね。User-Agent を変更してもらうほうがよいかもしれません)
ぶろっぐぴんぴんだけの問題なんでしょうか?
又、ぶろっぐぴんぴんには既に誰か変更要望してるんでしょうか?
以上、いろいろ質問させていただきましたが、多分、ブログに詳しい方のご意見ですので、基本的には正しいんだと思うんですが、
素人に毛が生えた程度しか知識を持ち合わせていないと、なかなか正確に理解するのが難しいです。
多分、多くの初級〜中級ブロガーはもろ困っていると思いますので、出来るだけわかりやすく説明していただけると他の方も安心すると思いますし、
逆に正しく理解出来れば、ある程度のケアは私のようなものでも可能かと思います。
すべて正確に理解していただくには実際の攻撃コードを見ていただくしかないような気もするのですが、答えられる点だけピンポイントで。
> IP Banningというのは、特定のIPアドレスからくるものをブロックする機能だと思いますが、その機能はblosxomスターターキットには標準では無いので、
blacklistプラグインなどを導入するとかしないと3、4だけではやはり対策として不足ですね。
今回の指摘は Trackback そのものについての脆弱な性質についてですので、個別ツールの実装については関与していないつもりです。
> これは、 XSS 脆弱性を持つ他のウェブページからJavaScript を使用してトラックバックを送らせるという事を言っていると思いますが、
> 逆に言えば、XSS 脆弱性を持たなければ3、4の対策は不要という事になりますか?
XSS 脆弱性をもっているWebページは自分のドメインである必要はないので、各BlogツールのXSS脆弱性対応状況については本質的には関係ありません。
> この実装後もまだ脆弱性が取残ってたとしても、webページからJavaScriptで送る場合にはリファラが必ずついてしまう様に思うんで、3だけを実装し、
4を削除で問題ないのではないでしょうか?(実は今そういう実装にしております。)
これは3だけでも問題ないとおもいます。
恩~はははははは、少し支持し、とても良かったし、鑑赏に値する
Posted by: ff14rmt on December 14, 2010 03:41 PM蟻力神:www.kanpocom.com/pro/yilishen.html
イーリンシン:www.kanpocom.com/pro/yilishen.html
三便宝:www.kanpocom.com/pro/satibo-capsules.html
三便宝 通販:www.kanpocom.com/pro/satibo-capsules5.html
五便宝:www.kanpocom.com/pro/wodibo-capsules.html
威哥王:www.kanpocom.com/pro/weigewang.html
巨人倍増枸杞:www.kanpocom.com/pro/jurenbeiceng.html
中華牛鞭:www.kanpocom.com/pro/niubian.html
蟻力神:www.kanpoucom.com/product/132.html
三便宝カプセル:www.kanpoucom.com/product/149.html
巨人倍増枸杞カプセル:www.kanpoucom.com/product/398.html
経口中絶薬RU486:www.kanpoucom.com/product/113.html
MaxMan:www.kanpoucom.com/product/97.html
五便宝:www.kanpoucom.com/product/157.html
結構革新的な技術であるTrackBack ブログの人と人、話題と話題を結ぶであろう魅力たっぷりの要素で誰でも簡単にできるのだが、その敷居の低さが問題に。 多くの Trackback サーバの実装に関して、容易に Trackback SPAM のターゲットにできる脆弱性が存在しますので、内...
Posted by: 紅蜘蛛 on June 27, 2011 04:01 PM紅蜘蛛 液体:www.001kanpo.com/product/43.html
御秀堂:www.001kanpo.com/product/219.html
D5 原液:www.001kanpo.com/product/231.html
男宝:www.001kanpo.com/product/409.html
その前に現状のMTに入れた修正点をメモしておきます。
Posted by: ティファニー on August 16, 2011 07:09 PMDurant quatre d�cennies nous avons cru a la construction des relations a l'aide d'une interaction face a face, et une adh�sion a une strat�gie qualit� de gambling recommand�s, des i
Posted by: tiffany on August 16, 2011 07:10 PM