ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.23(日)

ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性

 3月1日、NTT-Xの運営するウェブマガジン、ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性が発見された。

製品・サービス・業界動向 業界動向
 3月1日、NTT-Xの運営するウェブマガジン、ホットワイアードジャパンにクロスサイトスクリプティングの脆弱性が発見された。

 発見された脆弱性は、サーバそのものに起因するものとコミュニティサイト「ラウンジ」でのユーザ認証の部分の2つ。
「ラウンジ」のユーザ認証の脆弱性では、Cookieがプレーンテキストで記述されており、この内容を書き換えることで「なりすまし」が可能となっていた。

 今回の脆弱性発覚は、編集部宛に利用者からの報告があったことで分かったもの。その後、編集部では同サイトに3月1日の午前11時に連絡を行った。同サイトでは、すぐにコミュニティサイトを一時停止し、対応措置にとりかかった。
 クロスサイトスクリプティングに関してはApacheのバージョンアップ等で解決される。しかし、バージョンアップにともない既存のページに文字化けが生じる可能性もあり、膨大なページ量を有する同サイトではプログラム処理を変更することで対応した。
 なお、コミュニティサイト「ラウンジ」のユーザー認証の問題については、Cookieの暗号化により対応した。

 同サイトは、国内有数のウェブマガジンであり、数多くのメニュー、プログラム、莫大なページ数で構成されている。そのような状況にもかかわらず、脆弱性の連絡から、サービス停止、対処に至るまでの迅速な対応は評価できるだろう。

HOTWIRED JAPAN
http://www.hotwired.co.jp/


(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×