[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 特殊な環境下?

特殊な環境下?

2006年11月30日(木曜日)

特殊な環境下?

更新: 2006年12月6日

JVN#08494205 Chama Cargo におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。ひたすら良くある XSS ですが、開発者の方のコメントを見ると……。

悪意の第三者に誘導され、ユーザのブラウザ上で任意のスクリプトを実行される可能性があります。

特殊な環境下で問題が発生しますが、問題が発生する環境や方法などの詳細は公開出来ません。

以上、Chama Cargo におけるクロスサイトスクリプティングの脆弱性について より

うーん、「特殊な環境下」ですか。

実はこれ、知り合いの方に「ちょっと脆弱性がないか見て欲しい」と頼まれて見たときに発見したものです。その時点では、これが「Chama Cargo」の問題なのか、そのサイトに固有の問題なのか判断できませんでしたので、その切り分けを行いました。具体的には、Google で「Chama Cargo」を使用しているサイトを検索し、上位のサイトをいくつか見て、同様の問題があるのかどうかを確認しています。その結果、全てのサイトで問題を確認できたので、環境固有の問題ではないと判断し、ソフトウエア製品の脆弱性として届出を行いました。

というわけなので、報告者としては「特殊な環境下で発生する問題ではない」ということを確認した上で届け出たつもりなのですが、開発者の方の認識は異なるようで……。カテゴリ別の商品一覧のページで問題が起きるのですが、ひょっとすると「カテゴリ別商品一覧のページを用意すること自体が特殊である」という認識なのかもしれません。

いずれにしても、「特殊な環境でしか問題が発生しないから、普通の人は大丈夫」と思われてしまいかねない記述になっているのは、ちょっと気になりますね。まあ、自分が「特殊な環境」に相当するのかどうかという情報も与えられていませんから、全員アップデートするしかないのでしょうけれども。

※……それはそれとして、JVN のドキュメントになんか違和感があるなあと思ったら、報告者名が敬称略になってますね。こだわりませんが……。身内と思ってもらっているのかなぁ。

※2006-12-06追記 : 敬称追加されたようです。ありがとうございます。

関連する話題: Web / セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

最近の日記

関わった本など