水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > XSS大王の傾向と対策

XSS大王の傾向と対策

2003年7月3日(木曜日)

XSS大王の傾向と対策

更新: 2003年7月4日

こんなんでました。

いつもフォーラムをご利用いただきましてありがとうございます。

本日(7/3) のメンテナンスにおいて、まずは、掲示板(セミオープン/会員限定)へ新規に発言やコメントの登録をする際、一部のHTMLタグの記述を制限する対策を行いました。制限をしているタグなど詳しくはこちらをご覧ください。

また、この後、引き続き、これまでに登録された発言やコメントについての対策を行う予定です。そのため、全ての作業が終わるまでの間、新規発言やコメントで、タグが利用されていた場合には、そのまま表示されることとなりますのでご留意ください。

なお、機能再開の時期につきましては、現在、 7月末の見込みですが、具体的な日時が判明次第、ご案内申しあげます。

ご迷惑をおかけし、申し訳ございませんが、何卒ご理解賜りますようお願いいたします。

以上、https://com.nifty.com/forum/ より

サニタイズを強化したけれども、既存の発言はそのままなので注意ということらしいです。もちろん、既存の発言の中に罠が含まれていないかは精査しているのでしょうね。

※と、信じたいですけれど。

では早速サニタイズぶりを検証……と思ったら、掲示板の方はまだメンテナンス中のようで残念な思いをいたしました。アナウンスを更新したタイミングで何かが発生したのかしら。

18:45 頃に確認したら掲示板は復旧していました。でも何の属性もついていない b要素すら書けませんね。アナウンスの日本語がイマイチ意味不明なのですが、7月末までは一切のタグが書けないということなのかも知れません。※だとすると、今日行われたのが何だったのか良く分からないのですが……。

2003-07-04 追記 : 「Web 快適活用フォーラム」に分かりやすいアナウンスが出ていました。

上記の内容では、使用できるタグが制限されるものの、もう使えるようにも読めますが、実際には、まだ全面禁止のままです。

それだけではなく、タグとしての動作が禁止されているにもかかわらず、上記の制限がされるという、大変、困惑する状態となってしまいました。

例えば、制限されるタグである「<html>」を半角で記述すると、今までは無効なタグでしたので、そのまま、表示されていましたが、現在は削除されてなくなってしまいます。

従って、スタイルシート指定どころか、html文書の記述も、ほぼ不可能となってしまっています。

この処置は、7月末までの暫定的なものとのことですが、8月以降もタグ有効な掲示板においては、制限されたタグの記述は削除される模様です。

以上、http://bbs1.nifty.com/mes/cf_wrent/FWEBKK_B001 より

ということだそうで、いろいろな意味で頭が痛いですね。

関連する話題: Web / セキュリティ / ニフティ / XSS大王

最近の日記

関わった本など