水無月ばけらのえび日記

Wiki のファイル添付の脆弱性

「とある Wiki に XSS 脆弱性?」のお話、JVN で公開されました。

• JVN#465742E4 Wiki クローンにおけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
• JVN#465742E4：Wiki クローンにおけるクロスサイト・スクリプティングの脆弱性 (www.ipa.go.jp)

※JVN 側と IPA 側で表記が違う (IPA 側では「クロスサイト・スクリプティング」とナカグロが入っている) のが微妙に気になりますが。

話は単純で、「任意の HTML ファイルが添付できる」というだけです。HTML を用意し、添付します。添付されたファイルにアクセスすると、普通に HTML が表示されます。ただそれだけのことで、特別な細工は何も必要ありません。

スクリプトを含む HTML も添付できますので、悪意あるスクリプトを含む HTML を添付すれば攻撃が成立します。HTML が添付できることにはみんな気づいていたと思うのですが、それが悪用できるということに気づいていなかった……という感じでしょうか。

対応としては、

• 添付を無効にする
• Content-Disposition フィールドなどをつけて、添付ファイルがその場で開かれない (強制的にダウンロードされる) ようにする

といったものがあります。Hiki は後者の対応になっています。

後者に関しては、ダウンロード後にローカルで開けばローカルでスクリプトが実行されることになるわけですが、それはたとえばウィルス付きの exe ファイルを添付するとどうなるかという話と同じレベルのものであって、XSS ではありません。そもそも任意のファイルを添付できるということ自体が危険ですので、それをふまえて運用してくださいということで。

※なお、Hiki に関しましては ZnZさん (znz.s1.xrea.com)が開発者の方との連絡、対応方法の検討などをしてくださいました。ありがとうございました。この場を借りてお礼申し上げます。

• 「Wiki のファイル添付の脆弱性」へのコメント (1件)

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性