最近あちこちで「日記書くのサボってるよね」とか言われたので、サボってるわけじゃなくって書くネタがないだけだけど、無理やり2007年のXSSを振り返ってみるというネタで書いてみます。以下、著名サイトで見つけたXSSです。

産業技術総合研究所のXSS

404応答のページにてcharsetの指定がないため、UTF-7を利用したXSSが可能でした。ただし、ページ中に日本語を含むため、CVE-2007-1114を利用しIE7にてUTF-7で書かれたiframeを経由した場合のみXSS可能でした。ですので、実際の脅威にはつながりにくいと思います。届出:2007年4月11日、修正完了:2007年6月5日

sourceforge.jpにおけるXSS

cvs.sourceforge.jpにおける404応答のページにてcharsetの指定がないため、UTF-7によるXSSが可能でした。ログインした状態ではセッションCookieの奪取も可能でした。届出:2007年4月16日、修正完了:2007年5月16日

IBM検索ページにおけるXSS

IBMの検索ページにおいて、クエリにて &cs=MS932 のように指定した場合、HTML出力の文字エンコーディング名として MS932 が使用されるため、UTF-7を利用したXSSが可能でした。届出:2007年4月19日、修正完了:2007年8月30日

みずほ銀行におけるXSS

みずほ銀行の検索ページにおいて、&oe=jis のように指定した場合、HTML出力の文字エンコーディング名として jis が使用されるため、UTF-7を利用したXSSが可能でした。届出:2007年4月26日、修正完了:2007年12月25日

F5 NetworksにおけるXSS

F5 Networksの検索結果ページにおいて、
http://www.f5networks.co.jp/cgi-bin/search/search.pl?query=abcd%22onload=%22alert(document.location)%22%20
のようなXSSが可能でした。届出:2007年7月31日、修正完了:2007年10月29日

OracleにおけるXSS

oracle.co.jpの検索ページにて、%22がエスケープされていないため、クロスサイトスクリプティングが可能でした。届出:2007年8月28日、修正完了:2007年9月21日

経済産業省におけるXSS

経済産業省の www.meti.go.jp 上のページにおいて、charset が指定されていないため、UTF-7 によるXSSが可能でした。届出:2007年10月10日、修正完了:2007年12月5日

MIAUにおけるXSS

MIAUのメールマガジン登録ページにて
http://miau.jp/miaumailmagsubmit.phtml?miaumgreg=test%40example.com%22%20style=%22xss%3aexpression(alert(1))&userevent=mag-reg
のようなXSSが可能でした。届出:2007年10月24日、修正完了:2007年10月31日

co.jpやgo.jpのように、クロスサイトスクリプティングで偽情報を表示されると相当な脅威が発生するものも簡単に見つかってますので、気をつけましょう(誰が何を気をつけるのやら)。

あと、2007年を振り返ってみると、個人的には個々のクロスサイトスクリプティングよりも MS07-034 で mhtml によるユニバーサルXSSが修正されたことや、MS07-057 にて画像ファイルによるXSSが修正されたことのほうが印象深いです。特に、後者の画像ファイルによるXSSについては、ここ3年ほど、IPAを通じたり、知っている限りのMicrosoftの各種窓口を経由したりと、相当なやり取りを行っていましたが、最終的にはいつも「仕様に基づく動作です」ということですっかり諦めていたので、何の前触れもなくコッソリと修正されていたのには本当にびっくりしました。

2008年は、まだ未修正のあちこちのXSSが修正されるといいなと願っておきます。それではみなさん、よいお年を。