弊社が管理するWebサーバーのApacheアクセスログに以下のようなログが残っていました。
1回目
*************
[03/Mar/2013:20:57:21 +0900] “GET /connect.php?receive=yes&mod=login&op=callback&referer=xyz%bfu0027.replace(/.%2b/,/javascript:alert(511265478)/.source);// HTTP/1.1″ 302 207 “-” “Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)” B939*************
2回目
*************
[03/Mar/2013:20:57:31 +0900] “GET /connect.php?receive=yes&mod=login&op=callback&referer=xyzu0027.replace(/.%2b/,/javascript:alert(511265478)/.source);// HTTP/1.1″ 302 207 “-” “Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)” B939*************
赤字の部分に注目です。
これは「クロスサイトスクリプティング」に分類される攻撃手法で、一般的には今回の例のようにJavascriptが使われることが多いようです。
攻撃が成功すると悪意あるユーザー(クラッカー)にホームページの改ざんや他サイトへの誘導を行われてしまいます。
クラッカーはURLにJavascriptを埋め込み、ホームページ作成者の意図しないalertが表示されるようにホームページの改ざんを試みています。
しかし、今回場合は仮にこのリクエストが成功し、alertが表示されたとしてもそれほど問題ではありません。
クラッカーの目論見はこのリクエストでこのサイトに脆弱性が存在するかを確認することのようです。
クラッカーはサイトに脆弱性を発見すると、次に本格的な攻撃をはじめることが予想されます。
たとえば、別のサイトにリダイレクトするようなホームページ改ざんです…まさにクロスサイトですね。
なお、同一のIPアドレスから同時刻帯に他にもSQLインジェクションやディレクトリトラバーサル攻撃を受けています。
次の機会に紹介できればと思っています。
