「旅の窓口」mytrip.net にクロスサイトスクリプティング脆弱性
宿泊情報・観光情報、予約サービスを提供する「旅の窓口」mytrip.net にクロスサイトスクリプティング脆弱性が発見された。
この問題により、Cookie情報の取得や悪意のあるページを作成することが可能になっていた。しかし、幸いなことに同サイトではCookie情報を利
製品・サービス・業界動向
業界動向
この問題により、Cookie情報の取得や悪意のあるページを作成することが可能になっていた。しかし、幸いなことに同サイトではCookie情報を利用していたが、現在Cookieだけで認証は行っていないため、悪用される危険性は無かったようだ。
同サイトでは、クロスサイトスクリプティングに対する脆弱性を修正するとともに、「 < 」「 > 」などといった特殊文字を、予約情報や掲示板などのサイト内で入力可能な項目に使用することを禁止している。現在、これらの文字を含んだ項目を入力しようとした場合には、警告を表示し入力を受け付けないよう、修正が施されている。
「旅の窓口」クロスサイト・スクリプティングの脆弱性について
http://www.mytrip.net/aboutcss.html
《ScanNetSecurity》