予告.in、XSS攻撃を受け不正コードを埋め込まれる | スラド セキュリティ2ちゃんねるなどの掲示板を監視し、「犯行予告」を集積するシステム「予告.in」で、クロスサイトスクリプティング攻撃によって不正コードを埋め込まれていたことが判明した。 予告.inには、犯行予告を通報するフォームが用意されているが、そのフォームの一部(具体的にはURL入力部分)でエスケープ処理を行っておらず、その結果URL部分に悪意のあるコードを埋め込むことが可能になっていたのが原因とのことだ。 これにより、予告.inのトップにアクセスを行うと、2ちゃんねるに「警視庁を爆破する 嘘です」という犯行予告文を投稿してしまう、という現象が発生していたとのことだ。 入力データのサニタイズはセキュリティの基礎ではあるが、確かにURLは見逃しがちな個所ではありそうだ。/.erにはCGIやWebアプリケーションを作成されている方も多いとは思うが、入力されたデータのチェックはすべての項目について、忘れないで
