【土曜日、日焼けサロンイコウゼ。】

というのがはやっているのかな?

関係ないけど総理は【月曜日、靖国にイコウゼ】状態です。テレビで持ちきりです。ええと既に外務省のエライ人が中国に釈明に行っている模様です。

昨日やり残したIPAへの報告は順延に

再現方法を忘れている…orz

18日追記:夢見でぼんやりと。http://example.com/ほえほえ/任意の文字列の挿入/%2E%2E/ぼげぼげ/…だったような気がしてきた。後で確認しましょう。確か、ばけらさんのサイトでみかけたような気がしてきました。

本日のIPAへの報告

Googleでニュース検索をしていたら古典的なXSS脆弱性がありそうだと匂わせる画面にぶつかりました。いえ、単に404なのですけどオウム返しっぽい。といいますか、Googleから飛んだら画面がおかしくなったダケですけど。ちょっと考えてサックリ検証。IPAさんに報告しました。

昨日報告した1連の中で1件(これもニュース系なのですけれど)IPAさんから問い合わせ。要は、脆弱性なのかもしれないけれどハッキリしてないよね?任意のタグがはいりそうだということで良いよね?という感じだったです。自分としては<s>test</s>みたいので充分だと思って手抜きの報告をしたのです。報告直前に試してあったって、シッカリ打消し線風味で表示されたのでこれでいいかと。…ずっと前にメールでタレ込みがあってIPAさんに報告しなくちゃなぁと思っていたのを忘れていたのですが、そのタレ込みが<s>test</s>風味だったのでそのままIPAさんに提示したのでした。

変だなぁ、このぐらいなら受理してくれてもいいのになぁと思いましたが、いざ、<script>alert()</script>風味に単純に置き換えたらなんとJavaScriptが作動しませんでした。ガックシ。これじゃぁ問い合わせが帰って来るわけですよねぇ。仕方がないので都合30回ほど練習してなんとかJavaScript作動にこぎつけました(汗)その際、我ながらタマゲタのですが。以下にスクリプトが動かない例と動く例を順に書きます。

http://example/yowayowa.cgi?"><img%20src%3D"javascript:alert()">

http://example/yowayowa.cgi?"><img%20src%3D"javascript:alert()">=

いやぁ素晴らしい。

ふと気がついて、大元の私へのタレ込みメールのExploitを見たら大体において以下のようになっていました。不覚。さすがですね>【誰】

<s>test=</s>

こんなの気がつかないよ俺。いやあ素晴らしいサニタイズだし素晴らしい検証でした。

というわけで昨日報告しようとしたアレには手がつかず。