yosの日記: XSSについて
日記 by
yos
ちょっと現実逃避。
最近ではだいぶXSS の認知度も上がってきたようで、きちんと対策されてるところも多くなってるようですな。まあ、ダメなところはとことんダメだったりしますがヽ(´Д`)ノ
そんな中で結構みんなが見落としてるXSSをハケーンしましたので報告。
Webメールサービス、結構使っている人いると思います。その中のサービスっていうか、通常使うメールの機能の一部としてファイル添付があります。
メール本文や、Fromアドレス、サブジェクトあたりは結構XSS対策バッチリぽいですが、添付ファイルのファイル名に関しては対策してないところが幾つかあることを見つけたのですよ。
んーと、つまり、
<script>alert('test')</script>.txt
というファイル名で添付するとスクリプトが動く、という事です。通常そんなファイル名はWinでもUnixでも付けられないはずだけど、そこはまあ、いくらでも方法はあるわけで。
一応、いくつか見た中で対策してたところは MSN、発見した当時は問題があったが現在は対処済みが Yahoo、NAVER あたり。
ほかにも幾つか見てますがいまだに問題ありのままのところもありますヽ(´Д`)ノ
コレ、考えようによっては結構ヤバいXSSと思うんですが。添付ファイル開く前に実行されちゃうし、ページ構成によってはメール一覧画面を表示しただけで動いちゃうかも。
とりあえず、開発者の方々には頑張ってもらって早く直してもらいたいもんです。
最近ではだいぶXSS の認知度も上がってきたようで、きちんと対策されてるところも多くなってるようですな。まあ、ダメなところはとことんダメだったりしますがヽ(´Д`)ノ
そんな中で結構みんなが見落としてるXSSをハケーンしましたので報告。
Webメールサービス、結構使っている人いると思います。その中のサービスっていうか、通常使うメールの機能の一部としてファイル添付があります。
メール本文や、Fromアドレス、サブジェクトあたりは結構XSS対策バッチリぽいですが、添付ファイルのファイル名に関しては対策してないところが幾つかあることを見つけたのですよ。
んーと、つまり、
<script>alert('test')</script>.txt
というファイル名で添付するとスクリプトが動く、という事です。通常そんなファイル名はWinでもUnixでも付けられないはずだけど、そこはまあ、いくらでも方法はあるわけで。
一応、いくつか見た中で対策してたところは MSN、発見した当時は問題があったが現在は対処済みが Yahoo、NAVER あたり。
ほかにも幾つか見てますがいまだに問題ありのままのところもありますヽ(´Д`)ノ
コレ、考えようによっては結構ヤバいXSSと思うんですが。添付ファイル開く前に実行されちゃうし、ページ構成によってはメール一覧画面を表示しただけで動いちゃうかも。
とりあえず、開発者の方々には頑張ってもらって早く直してもらいたいもんです。
XSSについて More ログイン