葉っぱ日記

■[SECURITY] エフセキュアブログにおけるXSS

エフセキュアブログにちょうどXSSという記事が出ていますね。

記事では f-secure.com におけるXSSを話題にしていますが、f-secure.jp でもXSSがあり、ちょうど先日修正が完了しました。エフセキュアブログでは、ブログ内を検索したときに検索文字列を含むJavaScript文字列を生成していますが、このときのエスケープが不十分であったため、XSSが発生していました。

• 2010年1月4日 届け出
• 2010年1月25日 修正完了との連絡。修正が不十分であり依然としてXSS可能であったためその旨を返答
• 2010年4月1日 修正完了との連絡。修正が不十分であり依然としてXSS可能であったためその旨を返答
• 2010年6月18日 修正完了との連絡。

この件に限りませんが、HTMLに混在しているJavaScriptの文字列を動的に生成する場合にXSSが発生するという例は多いですね！

(追記)

id:masatokinugawa さんから「それ、エフセキュアじゃなくライブドアだよ」的なコメントをもらいました。

@hasegawayosuke はせがわさんの記事ですとエフセキュアが修正を繰り返したように捉えられるのでニュアンスが違ってくる気がします。まぁXSSを報告されながら半年間f-secure.jpでブログを使い続けたのはセキュリティを扱う企業としてセキュアでない事実ですがっ！

2010-06-21 11:25:34 via web to @hasegawayosuke

@hasegawayosuke エフセキュアの件、エフセキュアブログのベースはライブドアみたいなのでエフセキュアの脆弱性というよりライブドアのブログ提供サービスにあったXSSっていう事になるんじゃないかなって思います。

2010-06-21 11:25:01 via web to @hasegawayosuke