Yahoo!ブログの脆弱性が修正された
2008年9月20日(土曜日)
Yahoo!ブログの脆弱性が修正された
届け出ていたYahoo!ブログ (blogs.yahoo.co.jp)のXSS脆弱性が修正されたようなので、「Firefoxではembedのsrcに書かれたスクリプトが動作する」というお話で伏せていた部分を公開しました。
Yahoo!ブログでは他のユーザとドメインを共用していますし、管理画面も同じドメインですので、ブログでスクリプトが動作するとあまり良くないことが起こります。そして、独自のWiki記法で img 要素や embed 要素を書けるのですが、
[[img(javascript:alert(document.cookie))]]
[[item(javascript:alert(document.cookie))]]
……のように書くと、まあ想像通りの残念な動作になったというお話です。現在では奇妙なサニタイズが行われるようになったようですね。
- 「Yahoo!ブログの脆弱性が修正された」にコメントを書く
関連する話題: セキュリティ / Web / IPA / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): マロン先生、噛んでます
- 次(新しい): 今日のQMA