画像の XSS
2004年8月3日(火曜日)
画像の XSS
「はてな、画像アップロードシステムのXSS脆弱性を修正 (internet.watch.impress.co.jp)」というお話。
……そもそも、任意の画像が置けるというだけでけっこうマズイ事が起きたりしますね。実は hatomaru.dll にも画像添付投稿機能があるのですが、送られたものをそのまま置くのではなく、画像の内容を読んで強制的に PNG に変換したりしているので問題ない……つもりです。
※逆に言うと、送られたものをそのまま置けてしまう場合はちょっと注意した方が良いということ。
- 「画像の XSS」にコメントを書く
関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性
- 前(古い): ココログ大アンケート復活
- 次(新しい): ACCS 謎の更新
