水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > JVNの情報がさっぱり分からないASP.NETのXSS

JVNの情報がさっぱり分からないASP.NETのXSS

2011年7月15日(金曜日)

JVNの情報がさっぱり分からないASP.NETのXSS

公開: 2011年7月22日17時25分頃

こんなお話が……「JVN#87908726 ASP.NET におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。

ASP.NET には、モバイル端末におけるセッション ID の処理に問題があります。ASP.NET には、Mobile Controls を使って開発をした時、クロスサイトスクリプティングの脆弱性が存在するモバイル端末向けウェブアプリケーションを作り出す問題があります。

(~中略~)

ASP.NET を用いたモバイル端末向けウェブアプリケーション開発者は、「ベンダ情報」をもとに、必要な対策をとってください。

以上、JVN#87908726 ASP.NET におけるクロスサイトスクリプティングの脆弱性 より

ベンダ情報として掲げられているのは「How To: Add Mobile Pages to Your ASP.NET Web Forms / MVC Application (www.asp.net)」というドキュメントなのですが、これ、ASP.NETでモバイルコンテンツを扱う一般的なテクニックについて書かれているものですね。この脆弱性にどう注意したら良いのか分かりません。

JVNを読み進むとこんな記述も。

本脆弱性対策情報の JVN 公表は、製品開発者が対応した時点から遅れ 2011/07/15 となりました。

迅速な JVN 公表を目指した 2010年度「情報システム等の脆弱性情報の取扱いに関する研究会」の提言を受け、2011年度より JPCERT/CC は新たな手順に従って製品開発者との調整を進めています。

以上、JVN#87908726 ASP.NET におけるクロスサイトスクリプティングの脆弱性 より

「製品開発者が対応した時点から遅れ」って、その「対応した時点」というのはいつなのでしょうか? 最近のASP.NETでは問題にならないのでしょうか? 肝心なことがなにひとつわかりません。

ただ、有益な情報もないわけではありません。このページ内の、ほぼ唯一と言って良い有益な情報はこれです。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。

報告者: 株式会社ラック 山崎 圭吾 氏

以上、JVN#87908726 ASP.NET におけるクロスサイトスクリプティングの脆弱性 より

この情報は素晴らしいですね。これにより、届出者に直接訊いてみることが可能になります。

セッションURLRewritingの機能があるのですが、セッションIDの部分に「"」(%22)を含めて送信した場合にエスケープされずにリンクを生成したりするので、イベント属性の追加等が出来るというお話です。

以上、http://twitter.com/ymzkei5/status/91760628032749568 より

ご返答感謝です。

ということで、セッションIDの部分に%22を入れてみれば、この問題の影響を受けるかどうか確認できるようです。

関連する話題: Web / セキュリティ / クロスサイトスクリプティング脆弱性 / JVN / IPA

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト