- - PR -
[重要] Cross Site Scripting 対策 !!!
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2001-10-15 11:44
「Security & Trust 会議室」-「セキュリティホールテスト」
より転送しました。 <SCRIPT>document.write(document.cookie)</SCRIPT> が認識されてしまうと、Cookieの内容が漏洩される恐れがあります。 (セキュリティの都合により、タグの括弧を全角にしています。) HTML入力モードを使用する場合は、利用可能なタグを制限したほうがいいでしょう。 | ||||
|
投稿日時: 2001-10-15 12:13
<SCRIPT>の使用を制限する方向で検討しております。
_________________ 樋口 理 株式会社アットマーク・アイティ | ||||
|
投稿日時: 2001-10-15 15:03
前にも書きましたが、別に BB だけで良いのではないでしょうか…
HTML で使いたい機能がでてきた時に、BB に機能追加、ってことで。 | ||||
|
投稿日時: 2001-10-15 16:08
と思ったのですが、意地っ張りなので(笑)とりあえず、ポストの内容、シグネチャ、プロファイルの内容、ハンドルなどに SCRIPT タグが入っていたら QUOTE するようにしました。 これから差し替えます。 _________________ 樋口 理 株式会社アットマーク・アイティ | ||||
|
投稿日時: 2001-10-16 00:18
<SCRIPT>だけでなく、onXXXイベントハンドラを利用して、
悪意のあるJavaScriptを埋め込むことができているようです。 やはり、BBコードだけに限定したほうがよろしいです。 | ||||
|
投稿日時: 2001-10-16 09:28
またHTMLを制限しました。
ほかにどういう手法があるか、系統立ててまとめてみたいなと思ってます。意地っ張りなので前に進みたい(笑)。 _________________ 樋口 理 株式会社アットマーク・アイティ | ||||
|
投稿日時: 2001-10-23 23:07
この問題は「クロスサイトスクリプティング」とは呼びません。
なぜなら、何かがサイトを「クロス」しているわけではないからです。 単に「掲示板にスクリプトを書かれた」としか呼びようのない単純な問題です。 本物のクロスサイトスクリプティングとは、 こういうもののことです。 これが第三者サーバに仕掛けられていたなら、まさにスクリプトがサイト間を「クロス」するわけです。 (なお、このサイトではこれによる実害はないことを確認しています。) IPAセキュリティセンターからの情報をご紹介。 http://www.ipa.go.jp/security/ciadr/20011023css.html Webアプリケーションの開発に携わる方々は早急に対策を。 [ メッセージ編集済み 編集者: 安全 編集日時 2001-10-24 06:32 ] | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。