マイクロソフトセキュリティアドバイザリ(945713)(wpadの脆弱性)でMan In the Middle以外に危険な事(任意のページが表示可能)

wpad.datなりproxy.pacの設定で「return "PROXY www.yahoo.co.jp:80";」にすると指定したページ(ここではYahoo!が表示される)という件を検証してみた。

例えば、proxy.pacを以下のようにしてみる

function FindProxyForURL(url,host)
{
	return "PROXY www.yahoo.co.jp:80";
}

まずは、Internet Explorer 6

便宜上設定はローカルディスクのファイルとさせてもらっている

(wpad.example.co.jpでもかまわない)

この状態で、http://www.microsoft.com/でも閲覧してみる

ありゃ、Yahoo!が閲覧されます。


 

次に、FireFox-2.0.0.11で

これも便宜上設定はローカルディスクのファイルとさせてもらっている

(wpad.example.co.jpでもかまわない)

この状態で、http://www.microsoft.com/でも閲覧してみる

ありゃ、やっぱりYahoo!が閲覧されます。

これが、Proxy.Pacの仕様といえば仕様です。