水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Feed2JS におけるクロスサイトスクリプティングの脆弱性

Feed2JS におけるクロスサイトスクリプティングの脆弱性

2007年11月20日(火曜日)

Feed2JS におけるクロスサイトスクリプティングの脆弱性

7月に届け出た奴ですが……。

Feed2JS では、

/feed2js.php?src=http://bakera.jp/ebi/rss

のように取得する RSS の URL を指定するようになっているのですが、この URL が Not Found のときはエラー画面が出るようになっています。そして、そこに URL が表示されるのですが、%3c が含まれていると < がそのまま出てしまったというお話です。ひたすらよくある XSS ですね。

※ちなみに CNET に「ウェブアプリケーション「Feed2JS」にクロスサイトスクリプティングの脆弱性 (japan.cnet.com)」という記事が出ていて、そこには「11月9日……公開した」とあるのですが、JVN や IPA のページの公開日は 20日になっています。私が連絡を受けたのも 20日なってからですし……。

関連する話題: セキュリティ / IPA / JPCERT/CC

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13

その他サイト