パスワードを忘れた? アカウント作成
674007 journal

yosの日記: XSSについて

日記 by yos
.txt というファイル名で添付するとスクリプトが動く、という事です。通常そんなファイル名はWinでもUnixでも付けられないはずだけど、そこはまあ、いくらでも方法はあるわけで。", "image": "https://images.srad.jp/topics/" }
ちょっと現実逃避。

最近ではだいぶXSS の認知度も上がってきたようで、きちんと対策されてるところも多くなってるようですな。まあ、ダメなところはとことんダメだったりしますがヽ(´Д`)ノ

そんな中で結構みんなが見落としてるXSSをハケーンしましたので報告。

Webメールサービス、結構使っている人いると思います。その中のサービスっていうか、通常使うメールの機能の一部としてファイル添付があります。
メール本文や、Fromアドレス、サブジェクトあたりは結構XSS対策バッチリぽいですが、添付ファイルのファイル名に関しては対策してないところが幾つかあることを見つけたのですよ。
んーと、つまり、

<script>alert('test')</script>.txt

というファイル名で添付するとスクリプトが動く、という事です。通常そんなファイル名はWinでもUnixでも付けられないはずだけど、そこはまあ、いくらでも方法はあるわけで。

一応、いくつか見た中で対策してたところは MSN、発見した当時は問題があったが現在は対処済みが Yahoo、NAVER あたり。
ほかにも幾つか見てますがいまだに問題ありのままのところもありますヽ(´Д`)ノ

コレ、考えようによっては結構ヤバいXSSと思うんですが。添付ファイル開く前に実行されちゃうし、ページ構成によってはメール一覧画面を表示しただけで動いちゃうかも。

とりあえず、開発者の方々には頑張ってもらって早く直してもらいたいもんです。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...