Python "SimpleHTTPServer"におけるクロスサイトスクリプティングの脆弱性 | セキュリティ対策のラックLAC Advisory No.110 Problem first discovered on: Thu, 15 Apr 2010 Published on: Tue, 10 Jun 2012 脅威度 中 概要 Pythonに同梱されている"SimpleHTTPServer"には、クロスサイトスクリプティングの脆弱性が存在します。 詳細 Pythonに同梱されている"SimpleHTTPServer"には、ディレクトリリスティングを表示する際に、文字コードの指定をおこなわずにレスポンスを表示する問題があります。このため、UTF-7でエンコードされたスクリプト文字列を送信されることによって、被害者のブラウザ上で任意のスクリプトが実行される恐れがあります。 (例) http://vulnsite.example.jp:8000/%2bADw-script%2bAD4-alert(documen
