| | | | | | | | | 2008/12/07 14:34:42 プライベート♪ | | | 脆弱性メモ | | | 対策されてから書くと言ったけど | |
| |
| | |
まあ気が向いてるので、色々書こう。
このブログサービスでは、URI(URLとも言いますね)が hoge.asp?user=username~id のような形ですが、ちょっとURIに小細工をすると、やはりこれもXSSな感じになって割と簡単に以下略。
ここで怖いのは、URIでの判定で内部プログラムのバグを当たられたりして、もごもごされちゃった日にはサーバ側が最悪な事になる危険性も!
一番いやなのは、ユーザリストが見えたりしたり、ユーザの情報が引き出されたりなど、ですかね。
出来れば、URIの設計も見直した方が良いかもしれません。サービス開始した後だから難しいかもしれないけど…。
何事も基礎があるから自治が形成されると思うので、基本的な対策は打っておいて損はありません。
この辺のリスクマネジメントをしっかりと行なう事でユーザも安心して使ってくれるのではないでしょうか。
| | | |
| |
| | | | | Posted by お疲れぷろぐらま (2008/12/07 14:56:15) 通報 | | URI | | URLはISAサーバで名称で特定しているので詐称はなかなか難しいと思うけれど、現在でも hoge/usename でリダイレクトされ参照できるようにはしているので、徐々に移行しなければと思うのだが・・。
IISの特性上、ASPはエラー判定でリダイレクトするため、機能を優先すると公式にその利用を促すのは難しく、ユーザー判定部分を厳密に判定する方法で検討中。
問題はアフリエイト用に用意されたサイドバーのリンク・・・。
Java動かさなければASPのjava動かせんしねぇ。
まあただ、ご指摘の通り、アクセスや書き込みはまだ少ないので人間が監視しているけど、リスクマネジメントに関しては自動化したいので、何かとアドバイス求む。
| |
| |
| | | | | | | | さかどん | | | | | | | 身長 | 171cm | | | 体型 | 変体 | | | 職業 | 学生 | | | 地域 | つくば市 | | | 性格 | 変態 | | | 趣味 | 特になし | | | チャーム | キモイとこ | | | | 自己紹介 | |
| 人類 | |
| |  | |
|
| |
| |
|
