JVNの情報がさっぱり分からないASP.NETのXSS
2011年7月15日(金曜日)
JVNの情報がさっぱり分からないASP.NETのXSS
公開: 2011年7月22日17時25分頃
こんなお話が……「JVN#87908726 ASP.NET におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。
ASP.NET には、モバイル端末におけるセッション ID の処理に問題があります。ASP.NET には、Mobile Controls を使って開発をした時、クロスサイトスクリプティングの脆弱性が存在するモバイル端末向けウェブアプリケーションを作り出す問題があります。
(~中略~)
ASP.NET を用いたモバイル端末向けウェブアプリケーション開発者は、「ベンダ情報」をもとに、必要な対策をとってください。
ベンダ情報として掲げられているのは「How To: Add Mobile Pages to Your ASP.NET Web Forms / MVC Application (www.asp.net)」というドキュメントなのですが、これ、ASP.NETでモバイルコンテンツを扱う一般的なテクニックについて書かれているものですね。この脆弱性にどう注意したら良いのか分かりません。
JVNを読み進むとこんな記述も。
本脆弱性対策情報の JVN 公表は、製品開発者が対応した時点から遅れ 2011/07/15 となりました。
迅速な JVN 公表を目指した 2010年度「情報システム等の脆弱性情報の取扱いに関する研究会」の提言を受け、2011年度より JPCERT/CC は新たな手順に従って製品開発者との調整を進めています。
「製品開発者が対応した時点から遅れ」って、その「対応した時点」というのはいつなのでしょうか? 最近のASP.NETでは問題にならないのでしょうか? 肝心なことがなにひとつわかりません。
ただ、有益な情報もないわけではありません。このページ内の、ほぼ唯一と言って良い有益な情報はこれです。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社ラック 山崎 圭吾 氏
この情報は素晴らしいですね。これにより、届出者に直接訊いてみることが可能になります。
セッションURLRewritingの機能があるのですが、セッションIDの部分に「"」(%22)を含めて送信した場合にエスケープされずにリンクを生成したりするので、イベント属性の追加等が出来るというお話です。
ご返答感謝です。
ということで、セッションIDの部分に%22を入れてみれば、この問題の影響を受けるかどうか確認できるようです。
- 「JVNの情報がさっぱり分からないASP.NETのXSS」にコメントを書く
関連する話題: Web / セキュリティ / クロスサイトスクリプティング脆弱性 / JVN / IPA
