[[ニコニコ技術部 まとめwiki]] **概要 [#qff96948] IRCログ表示の日付指定にXSS脆弱性がありました。影響期間は設置開始〜2016/10/19です。 **影響 [#tc4682be] 特定URLをクリックするとnicotech.jpドメインでJavaScriptを実行される。つまり変なCookie等、食わされてるかもよ。wiki.nicotech.jp,irc.nicotech.jp内ではcookie等を認証等のクリティカルな用途に使ってないですが他のnicotech.jpサイトは確認してないです。 **対策 [#qe2fd4b1] XSSは現在修正済みです。何か毒盛られてないか、気になる人はnicotech.jpドメインのcookieやストレージWebストレージを確認しましょう。 **その他 [#we4e46a5] 本脆弱性はIPAの届出により、通知されました。折角だからIPAに届出した事ない人はnicotechの脆弱性を見つけてIPA届出の練習をしよう。 -他の人に影響が見えないようにお願いします。 wikiはできるだけ「プレビュー」で試す。IRCは皆がいない別チャンネルで試す。 -正規表現の再帰DoSなどのCPU DoS系は試すまえにakira_youに相談して下さい(プロセスKillする準備しておきます) -ネットワークのDDoSには耐性が全くなく、多分やられたらIPSのアカウントBANされて閉鎖です。穏便にお願いします。