| | | | | | | | | | | | << | 11月 | >> | | 日 | 月 | 火 | 水 | 木 | 金 | 土 | | . | . | . | . | . | 1 | 2 | | 3 | 4 | 5 | 6 | 7 | 8 | 9 | | 10 | 11 | 12 | 13 | 14 | 15 | 16 | | 17 | 18 | 19 | 20 | 21 | 22 | 23 | | 24 | 25 | 26 | 27 | 28 | 29 | 30 | |
| |
| |
| |
| | | | | | | | | | | | | | | | | 2008/12/07 14:49:12 プライベート♪ | | | 脆弱性メモ | | | アップロードの怖さ | |
| |
| | |
さて、このブログサービスでは各所で画像などのアップロードが出来ます。
それは素敵な事なのですが、画像などにはメタデータとして様々な情報を入力しておくことが可能です。
間違って、その情報(文字列です)がプログラムのしゃくに障るようなものであったら、どうなってしまうでしょう。
最悪、バッファオーバーフローしてブラウザが落ちる、コンピュータがクラッシュしてしまうなどの危険も伴います。
また、このブログでは有る程度のファイルチェックを行なっているみたいですが、危険なファイルがチェックを通過してアップロードされてしまったら、そしてそれが原因でここのユーザのコンピュータにウイルスが…
などという危険性(他にも有りますが)が存分に含まれています。
対策をお願いしたいところです。
有名なはてなのブログサービス、はてなダイアリーでは脆弱性に対しての対策をリストアップした記事があります。参考までに。
はてなダイアリーXSS対策
| | | |
| |
| | | | | Posted by お疲れぷろぐらま (2008/12/07 15:15:27) 通報 | | うーん・・ | | あばばば は本文に入れたのか・・
プロフィールは入れられんようにしたが、本文もScriptは禁止すべき?
特定キーワードを禁止すべきとしたら、そのキーワードを列挙して教えてくれないかな?
一人で作ってるから時間ないのよw
| |
| |
| | | | | | | | 2008/12/07 14:34:42 プライベート♪ | | | 脆弱性メモ | | | 対策されてから書くと言ったけど | |
| |
| | |
まあ気が向いてるので、色々書こう。
このブログサービスでは、URI(URLとも言いますね)が hoge.asp?user=username~id のような形ですが、ちょっとURIに小細工をすると、やはりこれもXSSな感じになって割と簡単に以下略。
ここで怖いのは、URIでの判定で内部プログラムのバグを当たられたりして、もごもごされちゃった日にはサーバ側が最悪な事になる危険性も!
一番いやなのは、ユーザリストが見えたりしたり、ユーザの情報が引き出されたりなど、ですかね。
出来れば、URIの設計も見直した方が良いかもしれません。サービス開始した後だから難しいかもしれないけど…。
何事も基礎があるから自治が形成されると思うので、基本的な対策は打っておいて損はありません。
この辺のリスクマネジメントをしっかりと行なう事でユーザも安心して使ってくれるのではないでしょうか。
| | |
| |
| | | | | Posted by お疲れぷろぐらま (2008/12/07 14:56:15) 通報 | | URI | | URLはISAサーバで名称で特定しているので詐称はなかなか難しいと思うけれど、現在でも hoge/usename でリダイレクトされ参照できるようにはしているので、徐々に移行しなければと思うのだが・・。
IISの特性上、ASPはエラー判定でリダイレクトするため、機能を優先すると公式にその利用を促すのは難しく、ユーザー判定部分を厳密に判定する方法で検討中。
問題はアフリエイト用に用意されたサイドバーのリンク・・・。
Java動かさなければASPのjava動かせんしねぇ。
まあただ、ご指摘の通り、アクセスや書き込みはまだ少ないので人間が監視しているけど、リスクマネジメントに関しては自動化したいので、何かとアドバイス求む。
| |
| |
| | | | | | | | 2008/12/07 14:24:33 プライベート♪ | | | 脆弱性メモ | | | 脆弱性メモ | |
| |
| | |
プロフィールなどの記入欄にHTMLを記入すると割と普通にそのまんま出るので、割と普通にjava読み込んだりとかFlash読み込んだりして、割と簡単にクラックしたりなども出来ます。
こういうのを、XSS(クロスサイトスクリプティング)といって、基本的にウェブサービスなどを行ないブラウザ上から記入できる投稿フォームなどを設計スル際には、特に注意しなければならない部分ですので、ぜひ対策してほしいなあと。
<>alert("あばばばばばばば!こんちは!");
詳しくは、@IT:クロスサイトスクリプティング対策の基本。
まずはこの対策をされたらまた何か、書こう。
| | |
| |
| | | | | Posted by お疲れぷろぐらま (2008/12/07 14:35:43) 通報 | | ふむ | | 性善説はいかんということやね。 | |
| |
| | | | | | | | さかどん | | | | | | | 身長 | 171cm | | | 体型 | 変体 | | | 職業 | 学生 | | | 地域 | つくば市 | | | 性格 | 変態 | | | 趣味 | 特になし | | | チャーム | キモイとこ | | | | 自己紹介 | |
| 人類 | |
| |  | |
|
| |
| |
|
|
|
