Hatena::Groupsubtech

ういはるかぜの化学

Thursday, October 09, 2008

XSS.in 10:34  XSS.in - ういはるかぜの化学 を含むブックマーク はてなブックマーク -  XSS.in - ういはるかぜの化学

エガペインターのブログパーツが期待を裏切らず脆弱です。

http://paint.egachan.net/js/parts.php?id=%20onerror%3D%27alert%28%22XSS.in%22%29%27 (今は闇改修済み) f:id:mayuki:20081009170817p:image:small

えがいひとが作ったんじゃなくてsatoru.netのひとがつくったという話だから「期待を裏切らず」なのです。

過去、satoru.netのひとのサービスは実際にXSSでやられて問題になっていました(予告.in)。そして現サイトにあるやつも大体にXSSがあります(含む予告.in以降のもの)。そして今回にもちゃんとありました。

一度大きめな問題になって、その後もどこぞ(何処)から忠告されてるとかされてないとかいうウワサがあるのにです。何度も繰り返すというのはホント分かってないでしょう?と思わざるを得ないのです。

昨日の手乗りタイガー並のむかつきっぷりです。電柱蹴って斜めにしたい。大丈夫じゃないんじゃああああって。

個人云々も極端な話だけど任意のコマンドを実行できる脆弱性があったりしたら乗っ取られてメール大公開されて他の人にも迷惑がとかあり得ますよね。個人だから脆弱でいいと思ったら大間違いです。極端ですけど。

そもそも単純なXSSが防げないような人が他のアレも防げるとは思えません。これだけWebアプリケーションの基礎としてある話なのに。そもそも脆弱じゃなかったとしても正しく表示できない不具合ですよ不具合。まあ受け取ったまま出力するという仕様だというなら……。

XSS程度だからいいじゃんというのは自分専用のサービスを作るとか、仕事でプログラム書かないというのならよいと思います。他人に信用されたいなら何とかすべきです。

それでもサービス作りたくて作るといつもうっかり脆弱になっちゃう!という人にお勧めのものがあるのです。それは Web Application Firewall いわゆる WAF (わふ)という(略)。

はうはう。

もともとこの話はえがいひとの騒動がなくても書くつもりでした。たまたまこのタイミングでsatoru.netのひとが投下してきたので書いたのです。念のため。

hiroyukiegamihiroyukiegami2008/10/09 19:29ハイハイ、超すごいです>< 参考リンク:http://d.hatena.ne.jp/Hamachiya2/20080804/security

ki2nekoki2neko2008/10/10 01:29http://s04.megalodon.jp/2008-1010-0128-07/subtech.g.hatena.ne.jp/mayuki/20081009/1223516049

トラックバック - http://subtech.g.hatena.ne.jp/mayuki/20081009