ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性 | ScanNetSecurity
2021.06.19(土)

ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性

 3月1日、NTT-Xの運営するウェブマガジン、ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性が発見された。

製品・サービス・業界動向 業界動向
 3月1日、NTT-Xの運営するウェブマガジン、ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性が発見された。

 発見された脆弱性は、サーバそのものに起因するものとコミュニティサイト「ラウンジ」でのユーザ認証の部分の2つ。
「ラウンジ」のユーザ認証の脆弱性では、Cookieがプレーンテキストで記述されており、この内容を書き換えることで「なりすまし」が可能となっていた。

 今回の脆弱性発覚は、編集部宛に利用者からの報告があったことで分かったもの。その後、編集部では同サイトに3月1日の午前11時に連絡を行った。同サイトでは、すぐにコミュニティサイトを一時停止し、対応措置にとりかかった。
 クロスサイトスクリプティングに関してはApacheのバージョンアップ等で解決される。しかし、バージョンアップにともない既存のページに文字化けが生じる可能性もあり、膨大なページ量を有する同サイトではプログラム処理を変更することで対応した。
 なお、コミュニティサイト「ラウンジ」のユーザー認証の問題については、Cookieの暗号化により対応した。

 同サイトは、国内有数のウェブマガジンであり、数多くのメニュー、プログラム、莫大なページ数で構成されている。そのような状況にもかかわらず、脆弱性の連絡から、サービス停止、対処に至るまでの迅速な対応は評価できるだろう。

HOTWIRED JAPAN
http://www.hotwired.co.jp/


(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×