対策されてから書くと言ったけど

テーマ ・ プライベート♪ カテゴリ ・ 脆弱性メモ #731
まあ気が向いてるので、色々書こう。

このブログサービスでは、URI(URLとも言いますね)が <code>hoge.asp?user=username~id</code> のような形ですが、ちょっとURIに小細工をすると、やはりこれもXSSな感じになって割と簡単に以下略。
ここで怖いのは、URIでの判定で内部プログラムのバグを当たられたりして、もごもごされちゃった日にはサーバ側が最悪な事になる危険性も!
一番いやなのは、ユーザリストが見えたりしたり、ユーザの情報が引き出されたりなど、ですかね。
出来れば、URIの設計も見直した方が良いかもしれません。サービス開始した後だから難しいかもしれないけど…。

何事も基礎があるから自治が形成されると思うので、基本的な対策は打っておいて損はありません。
この辺のリスクマネジメントをしっかりと行なう事でユーザも安心して使ってくれるのではないでしょうか。

コメント1

  • お疲れぷろぐらま
    URLはISAサーバで名称で特定しているので詐称はなかなか難しいと思うけれど、現在でも hoge/usename でリダイレクトされ参照できるようにはしているので、徐々に移行しなければと思うのだが・・。 IISの特性上、ASPはエラー判定でリダイレクトするため、機能を優先すると公式にその利用を促すのは難しく、ユーザー判定部分を厳密に判定する方法で検討中。 問題はアフリエイト用に用意されたサイドバーのリンク・・・。 Java動かさなければASPのjava動かせんしねぇ。 まあただ、ご指摘の通り、アクセスや書き込みはまだ少ないので人間が監視しているけど、リスクマネジメントに関しては自動化したいので、何かとアドバイス求む。