2007年11月20日(火曜日)
Feed2JS におけるクロスサイトスクリプティングの脆弱性
7月に届け出た奴ですが……。
- JVN#33218020 Feed2JS におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
- JVN#33218020「Feed2JS」におけるクロスサイト・スクリプティングの脆弱性 (www.ipa.go.jp)
Feed2JS では、
/feed2js.php?src=http://bakera.jp/ebi/rss
のように取得する RSS の URL を指定するようになっているのですが、この URL が Not Found のときはエラー画面が出るようになっています。そして、そこに URL が表示されるのですが、%3c が含まれていると < がそのまま出てしまったというお話です。ひたすらよくある XSS ですね。
※ちなみに CNET に「ウェブアプリケーション「Feed2JS」にクロスサイトスクリプティングの脆弱性 (japan.cnet.com)」という記事が出ていて、そこには「11月9日……公開した」とあるのですが、JVN や IPA のページの公開日は 20日になっています。私が連絡を受けたのも 20日なってからですし……。
- 「Feed2JS におけるクロスサイトスクリプティングの脆弱性」にコメントを書く
- 前(古い): 2007年11月18日(Sunday)のえび日記
- 次(新しい): 2007年11月21日(Wednesday)のえび日記