2014年01月25日
このエントリーをはてなブックマークに追加
Symantec の SSL を利用しています。(旧ベリサインSSLサーバ証明書)
最近になって、脆弱性アセスメントというレポートが送付されてきました。

これによると、ログオンページについて、ユーザーIDに細工をすると、スクリプトが実行される可能性があると言うことをレポートは示していました。

VA-001
Authentication Credentials Theft

参照先は、以下のURLでした。
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

僕もユーザーID(数字)を細工できることは気づいていましたが、まさかサニタイジングが適切に行われていないとは・・。
ということで、とても有意義なレポートでした。

※ただしレポートのPDFがスゲー見つけにくい。
・最初にメールが届く
・メールにあるURLにアクセスすると、ワンタイムURLがさらにメールで届く
・Vulnerability Scanning ページにアクセスし、Download vulnerability report を選択する。


stock_value at 12:58│Comments(0)TrackBack(0)技術:2014年 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔