水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > ハッカーセーフのサイトの脆弱性が修正された

ハッカーセーフのサイトの脆弱性が修正された

2008年7月23日(水曜日)

ハッカーセーフのサイトの脆弱性が修正された

IPAの方から、以下のようなメールをいただきました。

IPA セキュリティセンターです。

HACKER SAFE の件につきまして、ウェブサイト運営者より、届出いただきました脆弱性に対する修正が完了したとの報告がありましたのでご連絡いたします。

HACKER SAFE(ハッカーセーフ)無料脆弱性診断(お試しスキャン) (www.hackersafe.jp)のページからリンクをたどると申し込みフォームが表示されるのですが、そのURL は以下のようなものになっています。

その筋の人(?)なら ".hxml" って何だろう? と思い、何となく拡張子を消してみたりするかもしれません。私がこのページを見ていたのはWASForum Conference 2008の2日前ですから7月2日のことなのですが、当時は以下のようなメッセージが表示されるようになっていました。

ERROR:

[sysXS3.system.m]

ID : ERR_FILE_NOT_FOUND

メッセージ: 要求されたファイルまたはパス: "/hxml/contact/check1" を見つけることができませんでした。

これが今は以下のようなメッセージに変更されています。

ERROR:

[sysXS3.system.m]

ID : ERR_FILE_NOT_FOUND

メッセージ: 要求されたファイルまたはパスを見つけることができませんでした。

というわけで、私が発見したクロスサイトスクリプティング脆弱性については修正されていることを確認しました。

当該フォームにもハッカーセーフのシール(?)が貼ってあったので、ハッカーセーフでチェックされていたのだと思うのですが、このような単純なXSSが見つからないものなのですね……。思うに、ハッカーセーフはリンクがつながっているページは検査できるけれども、URLを書き換えてアクセスするようなタイプのものは検出できないのかもしれません。

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性 / ハッカーセーフ / 情報セキュリティ早期警戒パートナーシップ / WASForum Conference / シール

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト