- - PR -
Apache2+Tomcat4.1XSSの脆弱性について
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2003-09-02 17:50
初めてスレッド立ち上げます。よろしくお願い致します。
https://www.netsecurity.ne.jp/article/2/6557.html ↑のような脆弱性があるのは存じているのですが、 現状は解決されているのでしょうか? もし、されているのならば処置方法なんかを教えていただけないでしょうか。 やはり、最新版を入れるというような変更処置が出てくるのでしょうか。 よろしくお願い致します。 | ||||
|
投稿日時: 2003-09-05 00:17
みけさんこんにちは。
どのバージョンが問題を起こさないかは良く知りません。 最新版にしたらいいかどうかは別として、まずはそのページに 示される検知方法によって使用している環境をテストしてみて 問題があるかどうか判断してください。 検知方法に示されている URLを入力したときに 404 Not Found になると思いますが、このときにダイヤログが開かれるようだ 問題ありです。 http://www.ipa.go.jp/security/awareness/vendor/programming/a01_02.html を参考にされるのも良いでしょう。 さらに付け加えれば、いくら Apacheや Tomcatに XSS問題のないバージョン を使用しても、Webアプリでサニタイズを怠ったりすると何にもならないので 注意しましょう。 開発するときには、関係するプログラマ全員に対策を徹底しましょう。 | ||||
|
投稿日時: 2003-09-07 03:24
Kissubgerさん、レス有難うございます。
>検知方法に示されている URLを入力したときに 404 Not Found >になると思いますが、このときにダイヤログが開かれるようだ >問題ありです。 実はダイヤログが開いてしまっています。 Webアプリに関しては、もちろん作る側に気をつけさせるのは 解っております。 ただ、サーバとして稼働させているのですから なるべくXSSが出てしまうというバージョンを使いたくないというのが希望です。 そのため、解決されいるならそのバージョンに変更したいなと思っております。 ただ、解決されているのかしていなのか解らないのでちょっと困っています。 _________________ | ||||
|
投稿日時: 2003-09-08 04:21
デフォルトのエラーページに問題があるようなので、エラーページを別のものに変えることで回避できないでしょうか。
こちらではエラーページを別のものに変えてみたところXSSは回避できているようです。 | ||||
|
投稿日時: 2003-09-12 11:09
レス有難うございます。
デフォルトのエラーページに問題があるようなので、エラーページを別のものに変えることで回避できないでしょうか。 こちらではエラーページを別のものに変えてみたところXSSは回避できているようです。 そうでしたか! 試しにエラーページ変更してみます。 有難うございます。 | ||||
|
投稿日時: 2003-09-12 11:20
試しにやるとかいう以前に、何が問題であるのかちゃんと読んでからにしましょうね。 まずは、自分がやろうとしていることに影響があるのかないのかを把握しなきゃいけません。 今回の件は人に言われなくたって、記事に問題点が書かれてるんですから対処できたはずですよね。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。