情報処理推進機構(IPA)セキュリティセンターとJPCERT コーディネーションセンターは12月25日、Seasar FoundationのJava用テンプレートエンジン「Mayaa」にクロスサイトスクリプティング(XSS)の脆弱性が見つかったとして、JVN(Japan Vulnerability Notes)に情報を公表した。
java
xss
エキサイトニュース
2008/12/25 18:39:37
by mimi7657
なんでみんな、たった一言「htmlspecialchars()でくくれよ!」って 直接、正解を言ってくれなかったんだろう。一言で済むのにね。
母親のような大きな愛で包み込みつつ皮肉を紛れ込ませている。 これに気づかないのは一種の才能。鈍感力。
インジェクション系脆弱性の根本原因はリテラル(定数)が枠をはみ出し、命令として解釈されることだ。
ここが理解できないと XSS を理解するのは難しい。
たしかに対策は簡単だよ。すでに見つかった脆弱性に対する対策はね。 それこそ、なんでこんなことすらしてなかったの?って思うくらいに。 だけど「いまだ発見されていないもの」に対する対策は難しいと思うよ。 それは「ただのエスケープ処理程度が」にしてもなんだ。 全て塞いでいるつもりでも、意外なところで漏れちゃったりしちゃうんだね。 簡単だよーなんて言ってる人たちはすごいね。
XSS脆弱性をひとくくりにしている辺り釣り。
犯行予告通報フォームのURL部分のエスケープ処理(不正な文字列を無効化する処理)を行っていませんでした。結果、悪意あるコードをURL部分に埋め込んだ場合、コードを実行させる危険性が存在しました
