クロスサイトスクリプティング脆弱性の傾向と対策
タレコミ by k3c
k3c 曰く、
Tea Room for Conferenceにおいて、クロスサイトスクリプティングの脆弱性を持つサイトの対応という表が公開されている。(参考:NetSecurity記事)有名サイトのクロスサイトスクリプティング脆弱性を、フォームに簡単なJavaScriptを埋め込むことで試しており、脆弱性が発見されたサイトに対してその事実を報告し、対応までの推移と所要日数を調査している。
結果を見ると、サイトによって対応がまちまちだが概ね3日くらいかかっているところが多い。連絡先として示された窓口からしかるべき担当者に連絡が届き、バグ確認・修正・テスト・リリース、までの所要日数として一つの目安といえるかもしれない。それにしても対応の遅い/反応しないサイトが多いのには閉口する。
なお、余談だが、リストの下のほうには/.JなどOSDN関連のサイトも上げられている…。