- PR -

[重要] Cross Site Scripting 対策 !!!

1
投稿者投稿内容
おがわ
大ベテラン
会議室デビュー日: 2001/08/01
投稿数: 199
お住まい・勤務地: 千葉県
投稿日時: 2001-10-15 11:44
「Security & Trust 会議室」-「セキュリティホールテスト」
より転送しました。

<SCRIPT>document.write(document.cookie)</SCRIPT>
が認識されてしまうと、Cookieの内容が漏洩される恐れがあります。
(セキュリティの都合により、タグの括弧を全角にしています。)

HTML入力モードを使用する場合は、利用可能なタグを制限したほうがいいでしょう。
樋口/@IT
@ITスタッフ
会議室デビュー日: 2001/07/26
投稿数: 293
お住まい・勤務地: 東京都
投稿日時: 2001-10-15 12:13
<SCRIPT>の使用を制限する方向で検討しております。
_________________
樋口 理
株式会社アットマーク・アイティ
しょむ
ぬし
会議室デビュー日: 2001/09/06
投稿数: 430
投稿日時: 2001-10-15 15:03
前にも書きましたが、別に BB だけで良いのではないでしょうか…
HTML で使いたい機能がでてきた時に、BB に機能追加、ってことで。
樋口/@IT
@ITスタッフ
会議室デビュー日: 2001/07/26
投稿数: 293
お住まい・勤務地: 東京都
投稿日時: 2001-10-15 16:08
引用:

前にも書きましたが、別に BB だけで良いのではないでしょうか…


と思ったのですが、意地っ張りなので(笑)とりあえず、ポストの内容、シグネチャ、プロファイルの内容、ハンドルなどに SCRIPT タグが入っていたら QUOTE するようにしました。
これから差し替えます。
_________________
樋口 理
株式会社アットマーク・アイティ
おがわ
大ベテラン
会議室デビュー日: 2001/08/01
投稿数: 199
お住まい・勤務地: 千葉県
投稿日時: 2001-10-16 00:18
<SCRIPT>だけでなく、onXXXイベントハンドラを利用して、
悪意のあるJavaScriptを埋め込むことができているようです。

やはり、BBコードだけに限定したほうがよろしいです。
樋口/@IT
@ITスタッフ
会議室デビュー日: 2001/07/26
投稿数: 293
お住まい・勤務地: 東京都
投稿日時: 2001-10-16 09:28
またHTMLを制限しました。

ほかにどういう手法があるか、系統立ててまとめてみたいなと思ってます。意地っ張りなので前に進みたい(笑)。
_________________
樋口 理
株式会社アットマーク・アイティ
安全
会議室デビュー日: 2001/10/15
投稿数: 5
投稿日時: 2001-10-23 23:07
この問題は「クロスサイトスクリプティング」とは呼びません。
なぜなら、何かがサイトを「クロス」しているわけではないからです。
単に「掲示板にスクリプトを書かれた」としか呼びようのない単純な問題です。

本物のクロスサイトスクリプティングとは、
こういうもののことです。
これが第三者サーバに仕掛けられていたなら、まさにスクリプトがサイト間を「クロス」するわけです。
(なお、このサイトではこれによる実害はないことを確認しています。)

IPAセキュリティセンターからの情報をご紹介。
http://www.ipa.go.jp/security/ciadr/20011023css.html
Webアプリケーションの開発に携わる方々は早急に対策を。

[ メッセージ編集済み 編集者: 安全 編集日時 2001-10-24 06:32 ]
1

スキルアップ/キャリアアップ(JOB@IT)