ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性
3月1日、NTT-Xの運営するウェブマガジン、ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性が発見された。
製品・サービス・業界動向
業界動向
発見された脆弱性は、サーバそのものに起因するものとコミュニティサイト「ラウンジ」でのユーザ認証の部分の2つ。
「ラウンジ」のユーザ認証の脆弱性では、Cookieがプレーンテキストで記述されており、この内容を書き換えることで「なりすまし」が可能となっていた。
今回の脆弱性発覚は、編集部宛に利用者からの報告があったことで分かったもの。その後、編集部では同サイトに3月1日の午前11時に連絡を行った。同サイトでは、すぐにコミュニティサイトを一時停止し、対応措置にとりかかった。
クロスサイトスクリプティングに関してはApacheのバージョンアップ等で解決される。しかし、バージョンアップにともない既存のページに文字化けが生じる可能性もあり、膨大なページ量を有する同サイトではプログラム処理を変更することで対応した。
なお、コミュニティサイト「ラウンジ」のユーザー認証の問題については、Cookieの暗号化により対応した。
同サイトは、国内有数のウェブマガジンであり、数多くのメニュー、プログラム、莫大なページ数で構成されている。そのような状況にもかかわらず、脆弱性の連絡から、サービス停止、対処に至るまでの迅速な対応は評価できるだろう。
HOTWIRED JAPAN
http://www.hotwired.co.jp/
(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》