WIKIで簡単!誰でもどこからでも編集ができるホームページ!メールアドレスだけでWIKIオーナーになれます。もちろん無料!
Top > XSS脆弱性対策について
HTML convert time to 0.025 sec.


XSS脆弱性対策について

Last-modified: 2005-09-26 (月) 04:25:13

attachプラグインによるXSS脆弱性対策について

pukiwiki-officialから引用:2005-05-19(first)
PukiWikiのattachプラグイン(ファイル添付機能)を利用したXSS(クロスサイトスクリプティング)が可能であることが解りました。
XSSを通じて:
第三者がアップロードした任意のスクリプトを(添付したそのWikiサイトの権限で、閲覧者のPCにおいて)実行する可能性があります。
また、それによって:
o 同じサーバー(ドメイン)でCookieを使用しているサービスがある場合に、Cookieを盗まれる可能性があります。
o Wikiサイトをフィッシング詐欺等に利用される可能性があります。
PukiWikiはデフォルトで第三者にファイルのアップロードを許可しています。第三者にファイルのアップロードを許可していない設定あるいは構成にしているサイトはこの問題の影響をを受けません。

当サイトはmod_securityとSnortを導入し、セキュリティの強化により、現在画像のuploadが可能となっております。
厳しく設定してありますので、ファイルによってはアップロードできないかもしれません。
不具合がありましたら、お手数ですがこちらから報告して頂けると助かります。
XSSはWikiに限らず、第三者からの投稿結果が表示される動的なページは全て攻撃を受ける可能性があります。
ブラウザのセキュリティ設定を高くするなどして、各自自己防衛を心がけて下さい。
参考:XSSの仕組みhttp://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html

※完全に防げるとは限りません、不信なリンクなどはクリックしないように注意してください。
※当サイトでは一切責任を負いませんので自己責任にて閲覧お願いします。

 

関連リンク Edit

[JVN#465742E4] http://jvn.jp/jp/JVN%23465742E4/index.html
[pukiwiki-official] http://pukiwiki.sourceforge.jp/index.php?PukiWiki%2FErrata
[pukiwiki-dev] http://pukiwiki.sourceforge.jp/dev/index.php?%B3%AB%C8%AF%C3%CC%B5%C1