2008年7月23日(水曜日)
ハッカーセーフのサイトの脆弱性が修正された
IPAの方から、以下のようなメールをいただきました。
IPA セキュリティセンターです。
HACKER SAFE の件につきまして、ウェブサイト運営者より、届出いただきました脆弱性に対する修正が完了したとの報告がありましたのでご連絡いたします。
HACKER SAFE(ハッカーセーフ)無料脆弱性診断(お試しスキャン) (www.hackersafe.jp)のページからリンクをたどると申し込みフォームが表示されるのですが、そのURL は以下のようなものになっています。
- https://ssl.sct.co.jp/servlet/XS3/hxml/contact/check1.hxml
その筋の人(?)なら ".hxml" って何だろう? と思い、何となく拡張子を消してみたりするかもしれません。私がこのページを見ていたのはWASForum Conference 2008の2日前ですから7月2日のことなのですが、当時は以下のようなメッセージが表示されるようになっていました。
ERROR:
[sysXS3.system.m]
ID : ERR_FILE_NOT_FOUND
メッセージ: 要求されたファイルまたはパス: "/hxml/contact/check1" を見つけることができませんでした。
これが今は以下のようなメッセージに変更されています。
ERROR:
[sysXS3.system.m]
ID : ERR_FILE_NOT_FOUND
メッセージ: 要求されたファイルまたはパスを見つけることができませんでした。
というわけで、私が発見したクロスサイトスクリプティング脆弱性については修正されていることを確認しました。
当該フォームにもハッカーセーフのシール(?)が貼ってあったので、ハッカーセーフでチェックされていたのだと思うのですが、このような単純なXSSが見つからないものなのですね……。思うに、ハッカーセーフはリンクがつながっているページは検査できるけれども、URLを書き換えてアクセスするようなタイプのものは検出できないのかもしれません。
- 「ハッカーセーフのサイトの脆弱性が修正された」にコメントを書く
関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性 / ハッカーセーフ / 情報セキュリティ早期警戒パートナーシップ / WASForum Conference / シール
- 前(古い): 2008年7月18日(Friday)のえび日記
- 次(新しい): 2008年7月24日(Thursday)のえび日記
