①踏み台にされる件
以下のようにrank.cgiを使うと、当該サーバーを踏み台にしたDDoS攻撃が行われる。
なので
・まず設定でランキング処理をやめる。
・サーバーにあるrank.cgiをrank.cgi.oldに変える。
②クロスサイトスクリプティングの脆弱性(CWE-79)
「yomi search」サイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性。これは「yomi search」の問題ではなく、ユーザー投稿コンテンツが表示されるサイト全てに当てはまる。以下「yomi search」での対応。
・「yomi search」での申請において、自動登録は絶対禁止(何しろ自動登録だと、いくらプログラムで弾いても、次々に新しいのが考案され、らちが明かない)
・申請内容を目で見て確認し、その場合、<script>〜</script>などの怪しい所が無いか確認。自分でも当該urlなどをセキュリティーの高いブラウザ(chromeなど)で確認する。
参照:https://www.shadan-kun.com/waf_websecurity/xss/
まあ、これで完璧に弾いても、相手先にて やばいページにリダイレクトされれば、元も子もない。そもそも完全には対応不可能。この脆弱性を問題にすること自体が茶番。
何よりも、ユーザー教育、マスコミ教育が大切。
ちなみに、一般的なサニタイジング(無害化)対応cgiスクリプトはこちら。要は表示だけされて実行はしないように変換。ユーザー入力項目について変換処理を加える。
$value =~ s/&/&/g;
$value =~ s/</</g;
$value =~ s/>/>/g;
$value =~ s/"/"/g;
$value =~ s/'/’/g;
0 件のコメント:
コメントを投稿