テスト書き込みスレッド

6 ：新しき交流者：2022/03/22(火) 23:50:32 ID:AXrMobgQ

掲示板に警告してくれた人に感謝いたします。

■状況
　ぜろちゃんねる掲示板の管理機能において、操作ログ閲覧画面を開くとユーザー「kara****」（一部伏字に修正）が意図せずに作成される。

■攻撃種別
　クロスサイトスクリプティング

　管理者ログイン画面のユーザー名入力テキストボックスに対して悪意ある Javascript を入力。
　これ自体はログインできずに失敗するが、管理者が操作ログ閲覧画面を開いた際に Javascript が実行される。

■対策
　１．管理者は直ちに管理画面の右上メニューの「ユーザー」リンクからユーザー一覧を確認し、
　　　不審なユーザーが作成されていた場合は削除すること。

　２．もしも先に乗っ取られてしまった場合は直ちにぜろちゃんねるCGIフォルダのパーミッション（属性）を変更し、
　　　掲示板を閲覧できないようにしてください。
　　　※パーミッション（属性）はひとまず 700 （管理者のみ、読み書き実行可）にするとよいかと。
　　　※最悪、掲示板の削除も視野に入れてください。

　３．「操作ログ閲覧」画面においてクロスサイトスクリプティングを無効化する。
　　※プログラムの修正が必要です。即座に対策が必要な場合は自己責任で修正すること。