[Seasar-user:19059] Re: クロスサイトスクリプティング対策について

Koichi Kobayashi [E-MAIL ADDRESS DELETED]
2009年 12月 24日 (木) 22:00:00 JST


小林 (koichik) です.

ごめんなさい,いろいろ勘違いしてました.

Date:    Thu, 24 Dec 2009 20:00:01 +0900
From:    Koichi Kobayashi <[E-MAIL ADDRESS DELETED]>
To:      [E-MAIL ADDRESS DELETED]
Subject: [Seasar-user:19057] Re: クロスサイトスクリプティング対策について

> 適切なエラーページを作成して web.xml の
> 
>     <error-page>
>         <exception-type>java.lang.Throwable</exception-type>
>         <location>/debug/debug.jsp</location>
>     </error-page>
> 
> の <location> で指定してください.
> デフォルトの設定は名前の通りデバッグ用です.

この設定は Teeda HTML Example のもので,Dolteng で
作成したプロジェクトでは設定されていませんでした.

> > 以下のように、
> > http://localhost:8080/hogehoge/coppermine/thumbnails/meta=%22%3e%3cscript%3ealert('XSS%20Happend!')%3c/script%3etopn/album=1.html
> > というクロスサイトスクリプティングの試験を行った場合
> > 実行されてしまいます。

これはエラー画面で

<span id="messages"></span>

などとした場合に不正な URL がエスケープされることなく
出力されていることが原因でした.
修正して SNAPSHOT をデプロイしたのでご確認ください.

http://maven.seasar.org/maven2-snapshot/org/seasar/teeda/teeda-core/1.0.13-sp9-SNAPSHOT/teeda-core-1.0.13-sp9-20091224.121655-1.jar
http://maven.seasar.org/maven2-snapshot/org/seasar/teeda/teeda-extension/1.0.13-sp9-SNAPSHOT/teeda-extension-1.0.13-sp9-20091224.121655-1.jar
http://maven.seasar.org/maven2-snapshot/org/seasar/teeda/teeda-ajax/1.0.13-sp9-SNAPSHOT/teeda-ajax-1.0.13-sp9-20091224.121655-1.jar
http://maven.seasar.org/maven2-snapshot/org/seasar/teeda/teeda-tiger/1.0.13-sp9-SNAPSHOT/teeda-tiger-1.0.13-sp9-20091224.122014-1.jar


-- 
<component name="koichik">
    <property name="fullName">"Koichi Kobayashi"</property>
    <property name="email">"[E-MAIL ADDRESS DELETED]"</property>
    <property name="blog">"http://d.hatena.ne.jp/koichik"</property>
</component>



Seasar-user メーリングリストの案内