トップページ サービスの詳細 セキュリティ情報 購読の申し込み
HotFix Report
/セキュリティ用語/

■スクリプト挿入の脆弱性(script insertion vulnerability)
 掲示板やBlogなどの入力フィールドを持つWebページにおいて、スクリプトの入力と実行を許してしまう脆弱性。

 HTMLやJavaなどが処理可能なアプリケーションにおいて、十分にサニタイジングが行われていないと、本来はスクリプトの入力が許されない入力フィールドなどにおいても、スクリプトを記述することで、それが実行されてしまうことがある。例えば、「TechNetセキュリティ情報:MS05-024」で解消された脆弱性では、Windows 2000などの「Webの表示」機能において、WordやExcelなどのファイルに付けられている作成者フィールドにスクリプトを挿入することで、そのファイルを選択した時点でスクリプトが実行されてしまうというものであった。

 スクリプト挿入の脆弱性は、情報漏えいにつながることもあるため、Webサイトを設計する場合には十分な注意が必要だ。サイニタイジングを行うなど、設計時にスクリプト挿入の脆弱性を想定した対策を行うことで回避できる。

・HotFix Alert MS05-024(Windowsエクスプローラの「Webの表示」機能の脆弱性により、リモートで任意のコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2005/ms05-024.html

・TechNetセキュリティ MS05-024(「Web の表示」の脆弱性により、リモートでコードが実行される)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-024.mspx

・サニタイジング(sanitizing)
http://www.hotfix.jp/archives/word/2004/word04-17.html

 
 
Copyright (C) Digital Advantage Corp.
無断で複製・再配信などを行うことはできません。

HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。