130722-yahoo-xss

 Yahoo!知恵袋クロスサイトスクリプティング(XSS)が実行可能という情報が入ってきましたので下記に紹介します。

 Yahoo!Japanには何か疑問があったときに問い合わせることができる「Yahoo!知恵袋」があります。このサイトを利用したことはなくても、検索したらこのサーとに案内されたことがある人は多いはず。

 その知恵袋にあるQ&Aがアップされていました。そこには

<script>alert(“xss”);</script> これであなたもおしまいです。

と書かれているだけです。わかる人にはわかると思いますが、このページを開くと「xss」と書かれただけのアラート(メッセージ)が表示されます。

 どういうことかというと、このページでは知恵袋の質問にJavaScriptのスクリプトを埋め込むことができ、悪用すればクロスサイトスクリプティング(XSS)が利用できることを警告しているのです。

 普通ならスクリプトが実行されないように質問が公開される前に自動でそれなりの処置を行うものなのですが、知恵袋では行われていないようです。

 これは非常に危険なのでYahoo側で早く対応をしてもらいたいものです。

これであなたもおしまいです。 – Yahoo!知恵袋(このページには危険性はないと思われますが、自己責任で開いてください)

追記(2013/07/23 4:44)
上記の件はYahoo!側で対策を取られた模様です。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

著者/訳者:徳丸 浩

出版社:SBクリエイティブ( 2011-03-01 )

定価:

Amazon価格:¥ 3,456

単行本 ( 496 ページ )

ISBN-10 : 4797361190

ISBN-13 : 9784797361193