Katsunori IMAI
imai****@glatt*****
2004年 6月 1日 (火) 15:25:46 JST
こんにちは、今井です。 私が気になったところは全て対策済みになりました。お忙しい ところ、ありがとうございました。 対策が示されましたので、田村さん宛でなくMLへの投稿にしま す。 今回の一連の対策は、XSSとひとまとめにして説明されている ことも多いですが、正確にはXSSではなく、HTMLタグ埋め込み に対する脆弱性への対策です。 http://www.lac.co.jp/security/intelligence/CERT/CA-2000_02.html XSSのようにサイトをまたいで攻撃する必要もなく、XSSよりも 悪用しやすいので、みなさん早めに対策されることをおすすめ します。(ちなみに、ほぼ全て、本家MS1で対策がされていな かったものです。) osCはオープンであるが故に、誰でも簡単にプログラムコード を入手できます。 プログラムコードを入手できると、実際にアタックすることな く脆弱性を探すこともできますし、実際に自分でテスト用サイ トを構築しアタック方法を確立してから実サイトを攻撃すると いうこともできます。 osCは個人情報を扱うECサイト構築ツールです。せっかくの良 いものなので、セキュリティ脆弱性など作りこまないように気 をつけていきたいですね。 Webアプリケーションのセキュリティ脆弱性についてご興味が ある方は、以下をそうぞ。 (1) http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html (2) http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html (3) http://www.ipa.go.jp/security/awareness/vendor/programming/index.html (4) http://www.lac.co.jp/security/intelligence/CERT/index.html 開発される方はIPAの(3)がお薦めです。 -- 今井克則 <imai****@glatt*****> 有限会社グラッツ TEL:03-3556-5566 FAX:03-3556-3366 VoIP:050-3322-2386
