UTF-7エンコードされたタグ文字列によるXSS脆弱性

By kenia on 2005年12月21日 13:03 | No Comments | No TrackBacks

スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意

Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正された。
これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された由。
「<」「>」にエスケープして出力するよう設定されていても、エンコーディングの操作によってJavaScriptコードを実行させることができる。

Internet Explorerでは、ページのエンコーディングが指定されていない場合、データがUTF-7っぽい内容であれば自動的にUTF-7として表示する機能が働くため、UTF-7エンコードされたXSS攻撃文字列をURLに含めてGoogle.comの404 Not Foundページを表示させる攻撃がしかけられると、罠にかかった被害者のInternet Explorer上でJavaScriptコードが実行されてしまう。

根本的にはJavaScriptを切るのが上策になるのか。

Categories:

No TrackBacks

TrackBack URL: http://www.matsuyuku.com/cgi-bin/MT/mt-tb.cgi/282

Leave a comment

ロックバンドぐわし
ロックバンドぐわしのホームページ
ライブ写真;ビデオ公開中

Search

About this Entry

This page contains a single entry by kenia published on 2005年12月21日 13:03.

CTCがSOAシステム管理製品 - AmberPoint was the previous entry in this blog.

IBMがネットワーク管理のMicromuseを買収 is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.

Categories

月別 Archives

Pages

Powered by Movable Type 4.21-ja

管理人への連絡は、
こちらからどうぞ
問い合わせフォーム