-out of date- ブログ版

--/--/--(--) --:--:--

[] スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

2009/12/14(月) 17:55:47

[] セブンネットショッピング、今度はXSS脆弱性が発覚!

セブンネットショッピングで、価格誤表記の次はXSS(クロスサイトスクリプティング)が発覚しました。どんだけー


情報元


512 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/12/14(月) 17:30:00.51 ID:5bnunGe/0
またみつけた
ログインしてないときに有効
ttps://www.7netshopping.jp/esi.svl?start&CID=ESI997&pg_from=%22%3E%3Cscript%3Ealert%28%27XSS%27%29;%3C/script%3E

531 名前:以下、名無しにかわりましてVIPがお送りします[sage] 投稿日:2009/12/14(月) 17:38:40.92 ID:RnnSe6630
>>512
確認した。アウトです。

>>495にも書いたけど、今後はクリックする時は本気で気をつけろ。
「また誤表記!」とかに釣られんなよ。

ユーザーができる対処法

  • セブンネットショッピングからログアウトしておく。
  • 不用意にhttps://www.7netshopping.jp/から始まるリンクをクリックしないこと。
  • XSS脆弱性に対処出来るソフト(FirefoxならNoScriptなど)を導入する。
  • できる事ならブラウザのJavascriptを無効にしておく。
  • できる事ならブラウザのクッキーを削除にしておく。


セブンネットショッピング開発者が出来ること

  • すぐにセブンネットショッピングを一時閉鎖する。
  • PHPサイバーテロの技法―攻撃と防御の実際を読んで、最低限のことを勉強する。
  • 報告に上がってるXSSを修正する。
  • 報告されてないXSSがないか、ソースコードを確認する。
  • 念のため、XSS以外の脆弱性(SQLインジェクション等)もチェックする。

スポンサーサイト
コメントを書く
トラックバック:0 - http://nekosakana.blog50.fc2.com/tb.php/679-870acad0
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。