水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2007年のえび日記 > 2007年11月 > 2007年11月20日(火曜日)

2007年11月20日(火曜日)

Feed2JS におけるクロスサイトスクリプティングの脆弱性

7月に届け出た奴ですが……。

Feed2JS では、

/feed2js.php?src=http://bakera.jp/ebi/rss

のように取得する RSS の URL を指定するようになっているのですが、この URL が Not Found のときはエラー画面が出るようになっています。そして、そこに URL が表示されるのですが、%3c が含まれていると < がそのまま出てしまったというお話です。ひたすらよくある XSS ですね。

※ちなみに CNET に「ウェブアプリケーション「Feed2JS」にクロスサイトスクリプティングの脆弱性 (japan.cnet.com)」という記事が出ていて、そこには「11月9日……公開した」とあるのですが、JVN や IPA のページの公開日は 20日になっています。私が連絡を受けたのも 20日なってからですし……。

関連する話題: セキュリティ / IPA / JPCERT/CC

最近の日記

関わった本など