警察庁、外務省、公安委員会のWebサイトにクロスサイトスクリプティング
先週、警察庁、外務省、公安委員会の各Webサイトで、クロスサイトスクリプティングの脆弱性が確認された。
製品・サービス・業界動向
業界動向
この問題は、クロスサイトスクリプティング問題の調査と啓蒙を行っている office 氏が発見し、関係各所に通報するとともに、その内容を自分の運営するクロスサイトスクリプティングの web で紹介した。
http://www.office.ac/Pointer_CSS.html
同氏が運営する上記のページでは、これまで発見されたWebサイトの脆弱性を利用したテストを実施している。このページよりWebサイトのスクリプトを利用したテストでは、確かに「Alert」のメッセージが表示されていた。
同氏は各サイトに連絡を行っていたが、外務省へは1月末に連絡を行っていたにもかかわらず、同氏への連絡は無く、そのまま3月16日に修正を確認。警察庁、公安委員会には3月11日に連絡を行っており、こちらも何の反応もないまま週末に修正されているのを確認している。
なお、つい先ごろ首相官邸のクロスサイロスクリプティングの問題が発見、対処されたばかりである。
□ 関連記事
首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示
可能(2002.3.14)
https://www.netsecurity.ne.jp/article/1/4337.html
(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml
《ScanNetSecurity》
