- PR -

セキュリティホールテスト

1
投稿者投稿内容
安全
会議室デビュー日: 2001/10/15
投稿数: 5
投稿日時: 2001-10-15 07:41
安全
会議室デビュー日: 2001/10/15
投稿数: 5
投稿日時: 2001-10-15 09:10
cookieを認証に使用している掲示板で任意のHTMLの書き込みを許可するなど正気の沙汰ではありません。
おがわ
大ベテラン
会議室デビュー日: 2001/08/01
投稿数: 199
お住まい・勤務地: 千葉県
投稿日時: 2001-10-15 11:06
<SCRIPT>document.write(document.cookie)</SCRIPT>
が認識されてしまうと、Cookieの内容が漏洩される恐れがあります。
(セキュリティの都合により、タグの括弧を全角にしています。)

HTML入力時の場合は、利用可能なタグを制限したほうがいいでしょう。
>> 要バグレポート!!!
樋口/@IT
@ITスタッフ
会議室デビュー日: 2001/07/26
投稿数: 293
お住まい・勤務地: 東京都
投稿日時: 2001-10-15 11:59
@ITの樋口です。

<SCRIPT>タグの使用を制限する方向で検討いたします。
_________________
樋口 理
株式会社アットマーク・アイティ

[ メッセージ編集済み 編集者: 樋口 理/@IT 編集日時 2001-10-15 12:15 ]
安全
会議室デビュー日: 2001/10/15
投稿数: 5
投稿日時: 2001-10-15 22:13

生半可な知識でHTML利用を許可すべきではありません。
セキュリティに関わる開発に携わっておられる読者の方々もご注意されたし。
樋口/@IT
@ITスタッフ
会議室デビュー日: 2001/07/26
投稿数: 293
お住まい・勤務地: 東京都
投稿日時: 2001-10-16 09:21
なるほど。こういう穴もあるのですね。とりあえず、HTMLの使用はまた停止します。

いろいろ勉強しようとしているのですが、この種の問題を系統立てて説明された資料になかなかたどり着けずにいます。いつかは@ITできちんと整理して広くみなさんに(わかりやすく)お知らせできるといいなと思ってます。
_________________
樋口 理
株式会社アットマーク・アイティ
樋口/@IT
@ITスタッフ
会議室デビュー日: 2001/07/26
投稿数: 293
お住まい・勤務地: 東京都
投稿日時: 2001-10-16 09:25
ちなみに、上の書き込みで安全さんが埋め込まれたのは
<img src="javascript:alert(document.cookie)">
というタグです。
お気をつけください>読者のみなさま
_________________
樋口 理
株式会社アットマーク・アイティ
1

スキルアップ/キャリアアップ(JOB@IT)