[Tep-j-general] Re: (続) クロスサイト・スクリプティング脆弱性

アーカイブの一覧に戻る

Katsunori IMAI imai****@glatt*****
2004年 6月 1日 (火) 15:25:46 JST


こんにちは、今井です。

私が気になったところは全て対策済みになりました。お忙しい
ところ、ありがとうございました。
対策が示されましたので、田村さん宛でなくMLへの投稿にしま
す。


今回の一連の対策は、XSSとひとまとめにして説明されている
ことも多いですが、正確にはXSSではなく、HTMLタグ埋め込み
に対する脆弱性への対策です。
http://www.lac.co.jp/security/intelligence/CERT/CA-2000_02.html

XSSのようにサイトをまたいで攻撃する必要もなく、XSSよりも
悪用しやすいので、みなさん早めに対策されることをおすすめ
します。(ちなみに、ほぼ全て、本家MS1で対策がされていな
かったものです。)

osCはオープンであるが故に、誰でも簡単にプログラムコード
を入手できます。
プログラムコードを入手できると、実際にアタックすることな
く脆弱性を探すこともできますし、実際に自分でテスト用サイ
トを構築しアタック方法を確立してから実サイトを攻撃すると
いうこともできます。
osCは個人情報を扱うECサイト構築ツールです。せっかくの良
いものなので、セキュリティ脆弱性など作りこまないように気
をつけていきたいですね。

Webアプリケーションのセキュリティ脆弱性についてご興味が
ある方は、以下をそうぞ。

(1) http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
(2) http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html
(3) http://www.ipa.go.jp/security/awareness/vendor/programming/index.html
(4) http://www.lac.co.jp/security/intelligence/CERT/index.html

開発される方はIPAの(3)がお薦めです。


--
今井克則 <imai****@glatt*****>
有限会社グラッツ TEL:03-3556-5566 FAX:03-3556-3366 VoIP:050-3322-2386




Tep-j-general メーリングリストの案内
アーカイブの一覧に戻る