クロスサイトポートアタック(以下、XSPA)とは、攻撃者が細工されたリクエストを送信することで、脆弱なWebアプリケーションを攻撃の踏み台にする手法です。
攻撃の対象は、外部のインターネット接続サーバー、内部ネットワークデバイス、およびWebアプリケーションが動作しているサーバー自体など、多岐にわたります。
攻撃者は、攻撃対象のレスポンスを解析することで、その可用性(ポートの状態、バナー情報など)を識別することが可能です。
認定しない
サイボウズ製品が表示するエラーメッセージを利用したXSPAは、脆弱性として認定しません。「任意のホスト」「IPアドレス」「ポート番号」を指定できる機能が表示するエラーメッセージは、設定者が設定ミスを解決するための情報として表示しているからです。接続先の状態によって、エラーメッセージが表示されるまでの時間や内容が変化することは、仕様動作です。