ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性 | ScanNetSecurity
2026.01.29(木)

ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性

 3月1日、NTT-Xの運営するウェブマガジン、ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性が発見された。

製品・サービス・業界動向 業界動向
28 views
facebookLINE
 3月1日、NTT-Xの運営するウェブマガジン、ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性が発見された。

 発見された脆弱性は、サーバそのものに起因するものとコミュニティサイト「ラウンジ」でのユーザ認証の部分の2つ。
「ラウンジ」のユーザ認証の脆弱性では、Cookieがプレーンテキストで記述されており、この内容を書き換えることで「なりすまし」が可能となっていた。

 今回の脆弱性発覚は、編集部宛に利用者からの報告があったことで分かったもの。その後、編集部では同サイトに3月1日の午前11時に連絡を行った。同サイトでは、すぐにコミュニティサイトを一時停止し、対応措置にとりかかった。
 クロスサイトスクリプティングに関してはApacheのバージョンアップ等で解決される。しかし、バージョンアップにともない既存のページに文字化けが生じる可能性もあり、膨大なページ量を有する同サイトではプログラム処理を変更することで対応した。
 なお、コミュニティサイト「ラウンジ」のユーザー認証の問題については、Cookieの暗号化により対応した。

 同サイトは、国内有数のウェブマガジンであり、数多くのメニュー、プログラム、莫大なページ数で構成されている。そのような状況にもかかわらず、脆弱性の連絡から、サービス停止、対処に至るまでの迅速な対応は評価できるだろう。

HOTWIRED JAPAN
http://www.hotwired.co.jp/


(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 資金流出 187 万 6,000 USドル(約 2 億 7,900万円)萩原電気グループ会社へ虚偽の送金指示

    資金流出 187 万 6,000 USドル(約 2 億 7,900万円)萩原電気グループ会社へ虚偽の送金指示

  2. 非公式 7-Zip のインストーラによる不審なファイルの展開について解説

    非公式 7-Zip のインストーラによる不審なファイルの展開について解説

  3. 大企業の 66.8 %がセキュリティ不備を理由に取引停止や契約更新を見送る しかし取引停止された中小企業は景気悪化等が理由と誤認識

    大企業の 66.8 %がセキュリティ不備を理由に取引停止や契約更新を見送る しかし取引停止された中小企業は景気悪化等が理由と誤認識

  4. 寄附金 Web 申請クラウドサービス「Academic Support Navi」へ不正アクセス、「個人データの漏えいが生じたおそれがある事態」として受け止め

    寄附金 Web 申請クラウドサービス「Academic Support Navi」へ不正アクセス、「個人データの漏えいが生じたおそれがある事態」として受け止め

  5. D style web でポイントの不正交換行為発生、一時的に停止

    D style web でポイントの不正交換行為発生、一時的に停止

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP