水無月ばけらのえび日記

クロスサイトスクリプティング脆弱性の波紋

某方面 (諸事情により名前は出せませんが巨大企業グループです) の総合トップページが更新されたという話を聞いて見に行ったとき、思いっきりクロスサイトスクリプティング脆弱性を発見してしまいました。連絡しようかと思ったのですが、連絡用のフォームには「電話番号が必須」などと書いてあったので連絡する気が萎えてしまい、放置。とは言えクロスサイトスクリプティング脆弱性は放置すると危険なので、とりあえずそのサイトを「制限付きサイトゾーン」に登録することで回避しました。

で、その後、某サイトにアクセスしたら全く何も起きず。これは Flash を使っているサイトだと分かっていたので、例によって「信頼済みサイトゾーン」に登録しようとしたのですが……。

よく見ると、そのサイトは件の方面に属していて、件のサーバ上にあるコンテンツだったのです。IE の「信頼済み」「制限済み」はドメインごとに登録という形になっていて、ディレクトリごとに登録すると言うことはできません。ですからこれを「信頼済み」に登録しようものなら、クロスサイトスクリプティング脆弱性の存在する某方面総合トップページも信頼してしまうことになります。そんなことはできないので、見ること自体を断念するという結果に相成りました。

ちなみに、制限済みサイトゾーンでは「ページの自動読み込み」もデフォルトでオフになっています。META refresh による遷移も一切動作しません。

• 「クロスサイトスクリプティング脆弱性の波紋」にコメントを書く

関連する話題: Web / セキュリティ / クロスサイトスクリプティング脆弱性 / 某方面