[[ニコニコ技術部 まとめwiki]]

**概要 [#qff96948]
IRCログ表示の日付指定にXSS脆弱性がありました。影響期間は設置開始〜2016/10/19です。
**影響 [#tc4682be]
特定URLをクリックするとnicotech.jpドメインでJavaScriptを実行される。つまり変なCookie等、食わされてるかもよ。wiki.nicotech.jp,irc.nicotech.jp内ではcookie等を認証等のクリティカルな用途に使ってないですが他のnicotech.jpサイトは確認してないです。
**対策 [#qe2fd4b1]
XSSは現在修正済みです。何か毒盛られてないか、気になる人はnicotech.jpドメインのcookieやストレージWebストレージを確認しましょう。
**その他 [#we4e46a5]
本脆弱性はIPAの届出により、通知されました。折角だからIPAに届出した事ない人はnicotechの脆弱性を見つけてIPA届出の練習をしよう。
-他の人に影響が見えないようにお願いします。 wikiはできるだけ「プレビュー」で試す。IRCは皆がいない別チャンネルで試す。
-正規表現の再帰DoSなどのCPU DoS系は試すまえにakira_youに相談して下さい(プロセスKillする準備しておきます)
-ネットワークのDDoSには耐性が全くなく、多分やられたらIPSのアカウントBANされて閉鎖です。穏便にお願いします。