I know における脆弱性がなおったのかな? 

    

  • ----------------------------------------------------------------
    • 

  このメールは、取扱い番号 IPA#27446044 に関する連絡です。

    

  • ----------------------------------------------------------------
    • 

IPA セキュリティセンターです。

I know の件につきまして、ウェブサイト運営者より、届出いただきまし
た下記 2 件の脆弱性に対する修正が完了したとの報告がありましたので
ご連絡いたします。

IPA#27446044-1:クロスサイト・スクリプティングの問題
IPA#27446044-2:クロスサイト・リクエスト・フォージェリの問題

なお、IPA#27446044-2 に関して、強制的にログアウト可能な問題につい
ては、具体的な脅威がないため、脆弱性ではないと判断した旨の報告を
受けております。

本メールを持ちまして、本件の取扱いを終了させていただきますが、よ
ろしいでしょうか。不都合がある場合は、お手数ですが、10 営業日を目
処にご連絡いただければ幸いです。

届出をいただき、ありがとうございました。
今後ともよろしくお願いいたします。


I know の中の人、およびに、IPA セキュリティセンターさん、ありがとうございます。


XSSについては報告後、速攻でなおっていました。CSRFXSSについては、具体的な脆弱点が簡単かつ典型的なものであって特に技術的に興味深いものではありませんでしたのでこの日記では省略いたします。あ〜、でも、発射装置自体は自分の中では新しかったかなぁ。

発射装置?

発射装置だなんて、おおげさでした。IPAさんに報告した際に使った自作の発射台ぐらいの表現が妥当です。

tp://stardust.s2.xrea.com/hatena/200607/iknowjp.html

自分の中で新しかった理由はですね、上記発射装置では、object要素を使っているのですが、これがまた、苦し紛れでして、img要素やiframe要素では発動しなかったのですね、あれれ〜?という気分でした。 いまだに理由がわかりませんです。なお、IE6 on XPsp2 を使いました。

ということで。お答えになっているかしら?>某さん。