2014年01月25日
Tweet
Symantec の SSL を利用しています。(旧ベリサインSSLサーバ証明書)
最近になって、脆弱性アセスメントというレポートが送付されてきました。
これによると、ログオンページについて、ユーザーIDに細工をすると、スクリプトが実行される可能性があると言うことをレポートは示していました。
VA-001
Authentication Credentials Theft
参照先は、以下のURLでした。
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
僕もユーザーID(数字)を細工できることは気づいていましたが、まさかサニタイジングが適切に行われていないとは・・。
ということで、とても有意義なレポートでした。
※ただしレポートのPDFがスゲー見つけにくい。
・最初にメールが届く
・メールにあるURLにアクセスすると、ワンタイムURLがさらにメールで届く
・Vulnerability Scanning ページにアクセスし、Download vulnerability report を選択する。
最近になって、脆弱性アセスメントというレポートが送付されてきました。
これによると、ログオンページについて、ユーザーIDに細工をすると、スクリプトが実行される可能性があると言うことをレポートは示していました。
VA-001
Authentication Credentials Theft
参照先は、以下のURLでした。
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
僕もユーザーID(数字)を細工できることは気づいていましたが、まさかサニタイジングが適切に行われていないとは・・。
ということで、とても有意義なレポートでした。
※ただしレポートのPDFがスゲー見つけにくい。
・最初にメールが届く
・メールにあるURLにアクセスすると、ワンタイムURLがさらにメールで届く
・Vulnerability Scanning ページにアクセスし、Download vulnerability report を選択する。