2007年9月3日(月曜日)
HTML情報サイトでXSS
こんなのが出ています。
- JVN#43091983 futomi's CGI Cafe 製 全文検索 CGI におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
- JVN#43091983 futomi's CGI Cafe 製「全文検索 CGI」におけるクロスサイト・スクリプティングの脆弱性 (www.ipa.go.jp)
相変わらず JVN と IPA で表記が違いますが、まあそういうものということで。修正等もろもろありがとうございました。
ちなみにこれは HTML5.JP というサイトで発見したのですが、HTML 関係の情報を提供しているサイトで XSS というのが面白いと思いました。属性付きのタグを検索しただけで地雷を踏むことになりますので、すぐに発見されそうな気がするのですが、意外に気づかれないものなのでしょうか。
※余談ですが、CVSS2 だと XSS の基本値は「警告」レベルになるのですね。昔の CVSS では「注意」レベルばっかりで、イマイチだと思っていたのです。
- 「HTML情報サイトでXSS」にコメントを書く
関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性
サーバのバージョン表示
「サーバのバージョンは隠すのが常識? (slashdot.jp)」
昔「この PHP 古くてヤバイんじゃないの?」と指摘したら、バージョン情報を非表示にするという「対策」を取られて面倒なことになった経験があります。なので、「隠す」という行動にはどうしても悪い印象を持ってしまいますが……。
とはいえ、バージョン表示にたくさんのモジュール名が並んでいたりすると、それはそれで気持ち悪い感じもします。なかなか微妙ですね。
関連する話題: セキュリティ
- 前(古い): 2007年9月2日(Sunday)のえび日記
- 次(新しい): 2007年9月4日(Tuesday)のえび日記
