水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Wiki のファイル添付の脆弱性

Wiki のファイル添付の脆弱性

2005年5月19日(木曜日)

Wiki のファイル添付の脆弱性

とある Wiki に XSS 脆弱性?」のお話、JVN で公開されました。

※JVN 側と IPA 側で表記が違う (IPA 側では「クロスサイト・スクリプティング」とナカグロが入っている) のが微妙に気になりますが。

話は単純で、「任意の HTML ファイルが添付できる」というだけです。HTML を用意し、添付します。添付されたファイルにアクセスすると、普通に HTML が表示されます。ただそれだけのことで、特別な細工は何も必要ありません。

スクリプトを含む HTML も添付できますので、悪意あるスクリプトを含む HTML を添付すれば攻撃が成立します。HTML が添付できることにはみんな気づいていたと思うのですが、それが悪用できるということに気づいていなかった……という感じでしょうか。

対応としては、

といったものがあります。Hiki は後者の対応になっています。

後者に関しては、ダウンロード後にローカルで開けばローカルでスクリプトが実行されることになるわけですが、それはたとえばウィルス付きの exe ファイルを添付するとどうなるかという話と同じレベルのものであって、XSS ではありません。そもそも任意のファイルを添付できるということ自体が危険ですので、それをふまえて運用してくださいということで。

※なお、Hiki に関しましては ZnZさん (znz.s1.xrea.com)が開発者の方との連絡、対応方法の検討などをしてくださいました。ありがとうございました。この場を借りてお礼申し上げます。

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト