【マンスリーレポート2003/10】「まぐまぐ」サイトで発覚したクロスサイトスクリプティングの問題とその対処
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html
製品・サービス・業界動向
業界動向
Scan Monthly Report Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html
ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────
株式会社まぐまぐといえば、メールマガジン2万7千誌以上、のべ読者数2千6百万人以上を有する、日本最大のメールマガジン配信サービス会社である。9月、まぐまぐが運営する、
・「まぐまぐ!」 ( http://www.mag2.com/ )
・「懸まぐ!」 ( http://present.mag2.com/ )
の2つのWebサイトで、クロスサイトスクリプティングの問題のあることがわかった。現在はすでに対処済みで、その心配はない。
この問題について、そして発覚から対応までの経緯をまとめ、また考察を加えてみた。
■検索CGIにクロスサイトスクリプティングの問題
問題となったのは、上記2サイトでそれぞれ設置されている検索ボックス。メールマガジンやプレゼントの検索に利用される。
ここにHTMLやスクリプトを入力すると、そのまま実行されてしまう状態になっていた。悪用されれば、クレジットカードや電話番号などの情報を盗み出すことも可能である。
つまり、検索用CGIにクロスサイトスクリプティングに対しての対策が施されてなく、セキュリティ的に脆弱な状態であった。
これに対しては、HTMLのタグやスクリプトを無効化する、サニタイジングにより回避できる。具体的にはタグを文字列に置換する処理を施すわけである。
■発覚から対応までの経緯
この問題に気づいたのは、ネットアンドセキュリティ総研株式会社(旧:バガボンド)である。発覚から対応まで、まぐまぐとバガボンドのみのやりとりとなった。
>> 2社の主なやりとり
9月24日(水)
[Eメール]バガボンド → まぐまぐ(プレミアム事務局)
検索CGIにクロスサイトスクリプティングの脆弱性がある旨を連絡。
メールの宛先は、たまたま直接付き合いがある部署であるが、担当部署に転送してもらうことをメール内で依頼。
【執筆:井上きよみ(アイドゥ)】
(詳しくはScan Daily Expressをご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec
《ScanNetSecurity》
特集
アクセスランキング
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査
-
クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
GROWI に複数の脆弱性
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい
-
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
-
KELA、生成 AI セキュリティソリューション「AiFort」提供開始