ニコニコ技術部 まとめwiki

概要

IRCログ表示の日付指定にXSS脆弱性がありました。影響期間は設置開始〜2016/10/19です。

影響

特定URLをクリックするとnicotech.jpドメインでJavaScript?を実行される。つまり変なCookie等、食わされてるかもよ。wiki.nicotech.jp,irc.nicotech.jp内ではcookie等を認証等のクリティカルな用途に使ってないですが他のnicotech.jpサイトは確認してないです。

対策

XSSは現在修正済みです。何か毒盛られてないか、気になる人はnicotech.jpドメインのcookieやストレージWebストレージを確認しましょう。

その他

本脆弱性はIPAの届出により、通知されました。折角だからIPAに届出した事ない人はnicotechの脆弱性を見つけてIPA届出の練習をしよう。

  • 他の人に影響が見えないようにお願いします。 wikiはできるだけ「プレビュー」で試す。IRCは皆がいない別チャンネルで試す。
  • 正規表現の再帰DoSなどのCPU DoS系は試すまえにakira_youに相談して下さい(プロセスKillする準備しておきます)
  • ネットワークのDDoSには耐性が全くなく、多分やられたらIPSのアカウントBANされて閉鎖です。穏便にお願いします。

Last-modified: 2016-10-23 (日) 07:17:58 (271d)