テスト書き込みスレッド

7 ：新しき交流者：2022/03/22(火) 23:52:04 ID:AXrMobgQ

■対策２の修正内容

●修正対象ファイル
　/test/mordor/sys.top.pl

●作業手順
　１．sys.top.pl をファイルコピーしてバックアップしてください。
　　　sys.top.pl.20220322 と拡張子を変えてしまう方法が個人的におすすめ。
　２．361行目 sub PrintAdminLog 関数に移動
　３．367 行目辺り（my ... という行があるすぐ下あたり）に以下の関数を追加

# ▼ 2022/03/22 {修正者名} クロスサイトスクリプティング対策
my $sanitize = sub {
$_ = shift;
s/&/&/g;
s/</&lt;/g;
s/>/&gt;/g;
s/"/&#34;/g;
return $_;
};
# ▲ 2022/03/22 {修正者名}

　　　⇒［解説］
　　　　クロスサイトスクリプティングで必須の &、<、>、" の文字列を置換して無害化します。
　　　　$sanitize 関数自体はぜろちゃんねる CGI の中で使用されているロジックをコピペしてきただけ。
　　　　心配でしたらファイルを grep 検索してみてください。

　４．修正前でいうところの 404 行目「# ログ一覧を出力」のコメントを探す。
　　　その下に記述されているロジック、
　　　　$elem[0] = GALADRIEL::GetDateFromSerial(undef, $elem[0], 0);
　　　の下に以下のロジックを追加。

# ▼ 2022/03/22 {修正者名} クロスサイトスクリプティング対策
$elem[1] = &$sanitize($elem[1]);
# ▲ 2022/03/22 {修正者名}