ホームに戻る > スレッド一覧 > 記事閲覧
[118] v4.04以前の場合のCookieを利用したクロスサイト・スクリプティングへの対応をしてみました
日時: 2014/05/16 22:55
名前: きりしま◆.CzKQna1OU ID:6xZN/UkY メールを送信する

http://www.kent-web.com/bbs/patio.html

にある、

【注意】 旧バージョンであるVer 4.04以前のWEB PATIOにクロスサイト・スクリプティングの脆弱性が発見されました。
Ver 4.04以前をご利用の方は、Ver 4.5以降にバージョンアップするようにしてください。
詳細は次のとおりです。届出者及び報告機関へは、この場を借りて御礼を申し上げます。
・報告元:JPCERT/CC
・届出者(1):東内裕二氏
・届出者(2):匿名
・脆弱性の内容:
(1) v3.1以前の場合、URL入力欄を利用した悪用(クロスサイト・スクリプティング)が可能。ただし、v3.4以降は問題なし。
(2) v4.04以前の場合、Cookieを利用した悪用(クロスサイト・スクリプティング)が可能。ただし、スクリプトが実行されるのは改変された Cookie を利用するブラウザ上であり、第三者に対してクロスサイト・スクリプティングの脆弱性を利用するためには、Cookie Monster など別の手法を用いて、あらかじめ対象者の Cookie を変更しておく必要があります。そのため、脅威となる可能性は極めて低いと考えます。

(2)への対応をしてみました。
(1)はベースとなるバージョンが3.4なので、問題ないと考えます。

しばらく様子をみて問題なさそうなら配布バージョンに反映します。

>>[131] patio_34k110.zip をリリースしました
メンテ

Page: 1 | 全部表示 スレッド一覧 新規スレッド作成

題名 タイトルは次の画面で設定してください
名前  「名前#任意の文字列」でトリップ生成
E-Mail 入力すると メールを送信する からメールを受け取れます(アドレス非表示)
URL
パスワード (記事メンテ時に使用)
投稿キー (投稿時 投稿キー を入力してください)
コメント

   クッキー保存