■掲示板に戻る■ 全部 1- 最新50 [PR]ぜろちゃんねるプラス[PR]  

テスト書き込みスレッド

1 :塊素 司令:2013/02/24 23:42:00 ID:z6EFo5rrq.
 書き込みテストはこちらでどうぞ。
 掲示板の使い方は >>2-5 を参照してください。

6 :新しき交流者:2022/03/22(火) 23:50:32 ID:AXrMobgQ
掲示板に警告してくれた人に感謝いたします。

■状況
 ぜろちゃんねる掲示板の管理機能において、操作ログ閲覧画面を開くとユーザー「kara****」(一部伏字に修正)が意図せずに作成される。

■攻撃種別
 クロスサイトスクリプティング

 管理者ログイン画面のユーザー名入力テキストボックスに対して悪意ある Javascript を入力。
 これ自体はログインできずに失敗するが、管理者が操作ログ閲覧画面を開いた際に Javascript が実行される。

■対策
 1.管理者は直ちに管理画面の右上メニューの「ユーザー」リンクからユーザー一覧を確認し、
   不審なユーザーが作成されていた場合は削除すること。

 2.もしも先に乗っ取られてしまった場合は直ちにぜろちゃんねるCGIフォルダのパーミッション(属性)を変更し、
   掲示板を閲覧できないようにしてください。
   ※パーミッション(属性)はひとまず 700 (管理者のみ、読み書き実行可)にするとよいかと。
   ※最悪、掲示板の削除も視野に入れてください。

 3.「操作ログ閲覧」画面においてクロスサイトスクリプティングを無効化する。
  ※プログラムの修正が必要です。即座に対策が必要な場合は自己責任で修正すること。


7 :新しき交流者:2022/03/22(火) 23:52:04 ID:AXrMobgQ
■対策2の修正内容

●修正対象ファイル
 /test/mordor/sys.top.pl

●作業手順
 1.sys.top.pl をファイルコピーしてバックアップしてください。
   sys.top.pl.20220322 と拡張子を変えてしまう方法が個人的におすすめ。
 2.361行目 sub PrintAdminLog 関数に移動
 3.367 行目辺り(my ... という行があるすぐ下あたり)に以下の関数を追加

# ▼ 2022/03/22 {修正者名} クロスサイトスクリプティング対策
my $sanitize = sub {
$_ = shift;
s/&/&/g;
s/</&lt;/g;
s/>/&gt;/g;
s/"/&#34;/g;
return $_;
};
# ▲ 2022/03/22 {修正者名}

   ⇒[解説]
    クロスサイトスクリプティングで必須の &、<、>、" の文字列を置換して無害化します。
    $sanitize 関数自体はぜろちゃんねる CGI の中で使用されているロジックをコピペしてきただけ。
    心配でしたらファイルを grep 検索してみてください。

 4.修正前でいうところの 404 行目「# ログ一覧を出力」のコメントを探す。
   その下に記述されているロジック、
    $elem[0] = GALADRIEL::GetDateFromSerial(undef, $elem[0], 0);
   の下に以下のロジックを追加。

# ▼ 2022/03/22 {修正者名} クロスサイトスクリプティング対策
$elem[1] = &$sanitize($elem[1]);
# ▲ 2022/03/22 {修正者名}


5KB
新着レスの表示

名前: E-mail(省略可)
READ.CGI - 0ch+ BBS 0.7.5 20220323
ぜろちゃんねるプラス