X

【速報】Beのメアドと認証コードが漏れるXSS脆弱性を発見

■ このスレッドは過去ログ倉庫に格納されています
1動け動けウゴウゴ2ちゃんねる
垢版 |
2007/11/28(水) 00:26:28ID:C9LVKa5R0
1 スレ立て代行@大学中退(兵庫県) [] 2007/11/27(火) 23:22:25 ID:EbtVATOs0● ?2BP(2350) 
俺こと脱帽は、先日のいつか忘れたけど2chにXSSの脆弱性を発見した。
今回は通常のウェブブラウザ(除く専ブラ)からBeにログインした状態で
任意のURLにアクセスするとBeのメアドと認証コードが漏れる脆弱性であり、
それによってアカウント乗っ取りやプロフィールの変更が可能になってしまう。

現時点で数箇所のCGIで同脆弱性を確認しているが、この限りではない可能性もある。
サンプルURLを貼って置くが絶対に悪用しないよう注意を促したい。

http://z.la/ms0k2 (短縮URL、罠なので踏む時は注意)
http://moyashi.sosite.jp/xss/log.txt (盗まれた情報が記録されるファイル)

▼ 汎用XSS記録装置
http://moyashi.sosite.jp/xss/
▼ 俺公式サイト
http://manabi.homeunix.net/

これは色々とまずいようなきがします。
2007/11/29(木) 01:50:36ID:DZ71hxAK0
XSS発見しますた。
http://newsnavi.2ch.net/search/?q=%3C/title%3E%3C/head%3E%3Cscript%3Ealert(window)%3C/script%3E&e=
2007/11/29(木) 02:25:16ID:DZ71hxAK0
危険な香り。防いでおいた方が吉。
http://shop.2ch.net/image_gen.php?oid=22930240&type=text/html
2007/11/30(金) 01:02:05ID:8KSMUT+q0
スレタイがエスケープされてません。
http://is.2ch.net/?query=%3C+%3E&enc=SJIS
■ このスレッドは過去ログ倉庫に格納されています
5ちゃんねるの広告が気に入らない場合は、こちらをクリックしてください。
ニューススポーツなんでも実況