2007年のクロスサイトスクリプティングを振り返って
最近あちこちで「日記書くのサボってるよね」とか言われたので、サボってるわけじゃなくって書くネタがないだけだけど、無理やり2007年のXSSを振り返ってみるというネタで書いてみます。以下、著名サイトで見つけたXSSです。
- 産業技術総合研究所のXSS
- 404応答のページにてcharsetの指定がないため、UTF-7を利用したXSSが可能でした。ただし、ページ中に日本語を含むため、CVE-2007-1114を利用しIE7にてUTF-7で書かれたiframeを経由した場合のみXSS可能でした。ですので、実際の脅威にはつながりにくいと思います。届出:2007年4月11日、修正完了:2007年6月5日
- sourceforge.jpにおけるXSS
- cvs.sourceforge.jpにおける404応答のページにてcharsetの指定がないため、UTF-7によるXSSが可能でした。ログインした状態ではセッションCookieの奪取も可能でした。届出:2007年4月16日、修正完了:2007年5月16日
- IBM検索ページにおけるXSS
- IBMの検索ページにおいて、クエリにて &cs=MS932 のように指定した場合、HTML出力の文字エンコーディング名として MS932 が使用されるため、UTF-7を利用したXSSが可能でした。届出:2007年4月19日、修正完了:2007年8月30日
- みずほ銀行におけるXSS
- みずほ銀行の検索ページにおいて、&oe=jis のように指定した場合、HTML出力の文字エンコーディング名として jis が使用されるため、UTF-7を利用したXSSが可能でした。届出:2007年4月26日、修正完了:2007年12月25日
- F5 NetworksにおけるXSS
- F5 Networksの検索結果ページにおいて、
http://www.f5networks.co.jp/cgi-bin/search/search.pl?query=abcd%22onload=%22alert(document.location)%22%20
のようなXSSが可能でした。届出:2007年7月31日、修正完了:2007年10月29日 - OracleにおけるXSS
- oracle.co.jpの検索ページにて、%22がエスケープされていないため、クロスサイトスクリプティングが可能でした。届出:2007年8月28日、修正完了:2007年9月21日
- 経済産業省におけるXSS
- 経済産業省の www.meti.go.jp 上のページにおいて、charset が指定されていないため、UTF-7 によるXSSが可能でした。届出:2007年10月10日、修正完了:2007年12月5日
- MIAUにおけるXSS
- MIAUのメールマガジン登録ページにて
http://miau.jp/miaumailmagsubmit.phtml?miaumgreg=test%40example.com%22%20style=%22xss%3aexpression(alert(1))&userevent=mag-reg
のようなXSSが可能でした。届出:2007年10月24日、修正完了:2007年10月31日
co.jpやgo.jpのように、クロスサイトスクリプティングで偽情報を表示されると相当な脅威が発生するものも簡単に見つかってますので、気をつけましょう(誰が何を気をつけるのやら)。
あと、2007年を振り返ってみると、個人的には個々のクロスサイトスクリプティングよりも MS07-034 で mhtml によるユニバーサルXSSが修正されたことや、MS07-057 にて画像ファイルによるXSSが修正されたことのほうが印象深いです。特に、後者の画像ファイルによるXSSについては、ここ3年ほど、IPAを通じたり、知っている限りのMicrosoftの各種窓口を経由したりと、相当なやり取りを行っていましたが、最終的にはいつも「仕様に基づく動作です」ということですっかり諦めていたので、何の前触れもなくコッソリと修正されていたのには本当にびっくりしました。
2008年は、まだ未修正のあちこちのXSSが修正されるといいなと願っておきます。それではみなさん、よいお年を。