■スクリプト挿入の脆弱性(script insertion vulnerability)
掲示板やBlogなどの入力フィールドを持つWebページにおいて、スクリプトの入力と実行を許してしまう脆弱性。
HTMLやJavaなどが処理可能なアプリケーションにおいて、十分にサニタイジングが行われていないと、本来はスクリプトの入力が許されない入力フィールドなどにおいても、スクリプトを記述することで、それが実行されてしまうことがある。例えば、「TechNetセキュリティ情報:MS05-024」で解消された脆弱性では、Windows
2000などの「Webの表示」機能において、WordやExcelなどのファイルに付けられている作成者フィールドにスクリプトを挿入することで、そのファイルを選択した時点でスクリプトが実行されてしまうというものであった。
スクリプト挿入の脆弱性は、情報漏えいにつながることもあるため、Webサイトを設計する場合には十分な注意が必要だ。サイニタイジングを行うなど、設計時にスクリプト挿入の脆弱性を想定した対策を行うことで回避できる。
・HotFix Alert MS05-024(Windowsエクスプローラの「Webの表示」機能の脆弱性により、リモートで任意のコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2005/ms05-024.html
・TechNetセキュリティ MS05-024(「Web の表示」の脆弱性により、リモートでコードが実行される)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-024.mspx
・サニタイジング(sanitizing)
http://www.hotfix.jp/archives/word/2004/word04-17.html
|