水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > XSS大王その後

XSS大王その後

2003年6月23日(月曜日)

XSS大王その後

XSS大王の件ですが、Webフォーラムのトップ (com.nifty.com)に、こんなアナウンスが出ていますね。

いつもWeb フォーラムをご利用いただきましてありがとうございます。

本日(6/20)より「掲示板でのタグの使用」を一時的に休止とさせていただきます。

上記機能を利用すると、自由にhtmlタグを記述することが可能ですが、悪意をもって利用した場合、発言者のやり方によっては、掲示板利用者に被害がおよぶ可能性があるため、対策を行うことといたしました。

対策を行う間、機能を一時的に休止させていただきます。ご迷惑をおかけし、申し訳ございません。

なお、既に登録されている発言でタグが利用されていた場合には、タグがそのまま表示されることとなりますのでご留意ください。

以上、@nifty:forum:forum@nifty インフォメーション より

「善意ある方」の情報によると、20日の 19:00 時点でこのような対処がなされたのだとか。思ったより素早い対応で、これは高く評価して良いと思います。

同時にログインフォームの XSS も対策されていますので、ここで公開していた exploit コードは通らなくなりました。……が、実は別の exploit だと通ったりするので、抜本的な対策が行われたわけではないようです。

関連する話題: Web / セキュリティ / ニフティ / XSS大王

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチ体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト