- - PR -
[重要] Cross Site Scripting 対策 !!!
1
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2001-10-15 11:44
「Security & Trust 会議室」-「セキュリティホールテスト」
より転送しました。 <SCRIPT>document.write(document.cookie)</SCRIPT> が認識されてしまうと、Cookieの内容が漏洩される恐れがあります。 (セキュリティの都合により、タグの括弧を全角にしています。) HTML入力モードを使用する場合は、利用可能なタグを制限したほうがいいでしょう。 | ||||
|
投稿日時: 2001-10-15 12:13
<SCRIPT>の使用を制限する方向で検討しております。
_________________ 樋口 理 株式会社アットマーク・アイティ | ||||
|
投稿日時: 2001-10-15 15:03
前にも書きましたが、別に BB だけで良いのではないでしょうか…
HTML で使いたい機能がでてきた時に、BB に機能追加、ってことで。 | ||||
|
投稿日時: 2001-10-15 16:08
と思ったのですが、意地っ張りなので(笑)とりあえず、ポストの内容、シグネチャ、プロファイルの内容、ハンドルなどに SCRIPT タグが入っていたら QUOTE するようにしました。 これから差し替えます。 _________________ 樋口 理 株式会社アットマーク・アイティ | ||||
|
投稿日時: 2001-10-16 00:18
<SCRIPT>だけでなく、onXXXイベントハンドラを利用して、
悪意のあるJavaScriptを埋め込むことができているようです。 やはり、BBコードだけに限定したほうがよろしいです。 | ||||
|
投稿日時: 2001-10-16 09:28
またHTMLを制限しました。
ほかにどういう手法があるか、系統立ててまとめてみたいなと思ってます。意地っ張りなので前に進みたい(笑)。 _________________ 樋口 理 株式会社アットマーク・アイティ | ||||
|
投稿日時: 2001-10-23 23:07
この問題は「クロスサイトスクリプティング」とは呼びません。
なぜなら、何かがサイトを「クロス」しているわけではないからです。 単に「掲示板にスクリプトを書かれた」としか呼びようのない単純な問題です。 本物のクロスサイトスクリプティングとは、 こういうもののことです。 これが第三者サーバに仕掛けられていたなら、まさにスクリプトがサイト間を「クロス」するわけです。 (なお、このサイトではこれによる実害はないことを確認しています。) IPAセキュリティセンターからの情報をご紹介。 http://www.ipa.go.jp/security/ciadr/20011023css.html Webアプリケーションの開発に携わる方々は早急に対策を。 [ メッセージ編集済み 編集者: 安全 編集日時 2001-10-24 06:32 ] |
1