09/12/10 14:43:04
>>650
ありがとう。でもごめん。面倒になったからここで報告するわ。
o2onの管理画面にはXSS脆弱性があります。
確認したのはdatの整形表示画面のみですが、ここにあるということは他にもあると思われます。
o2on利用者は対策として、新バージョンが出るまで管理画面を利用しないことをお勧めします。
もう一つ。こっちはろくに確認もしてないんだけど一応。
datをプロキシとして2chブラウザなどに渡すとき、スクリプト挿入などの改変が行われて、かつ、
受け取り側が適切な対策をしていない場合、これまたXSSみたいなことになりそう。
datに区切り以外の'<'や'>'が含まれていることはないはずなので、そういう場合は通信に乗せない、とかやってもいいかも。
もう一回言うけど両方ともかなり適当な確認(下なんかソースをgrepしただけ)なんで、すでにちゃんと対策済みかも知れません。
その場合は笑って許して。