脆弱性のお知らせ20161021
の編集
Top
/
脆弱性のお知らせ20161021
[
トップ
] [
編集
|
差分
|
履歴
|
添付
|
リロード
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
-- 雛形とするページ --
(no template pages)
[[ニコニコ技術部 まとめwiki]] **概要 [#qff96948] IRCログ表示の日付指定にXSS脆弱性がありました。影響期間は設置開始〜2016/10/19です。 **影響 [#tc4682be] 特定URLをクリックするとnicotech.jpドメインでJavaScriptを実行される。つまり変なCookie等、食わされてるかもよ。wiki.nicotech.jp,irc.nicotech.jp内ではcookie等を認証等のクリティカルな用途に使ってないですが他のnicotech.jpサイトは確認してないです。 **対策 [#qe2fd4b1] XSSは現在修正済みです。何か毒盛られてないか、気になる人はnicotech.jpドメインのcookieやストレージWebストレージを確認しましょう。 **その他 [#we4e46a5] 本脆弱性はIPAの届出により、通知されました。折角だからIPAに届出した事ない人はnicotechの脆弱性を見つけてIPA届出の練習をしよう。 -他の人に影響が見えないようにお願いします。 wikiはできるだけ「プレビュー」で試す。IRCは皆がいない別チャンネルで試す。 -正規表現の再帰DoSなどのCPU DoS系は試すまえにakira_youに相談して下さい(プロセスKillする準備しておきます) -ネットワークのDDoSには耐性が全くなく、多分やられたらIPSのアカウントBANされて閉鎖です。穏便にお願いします。
<==(半角数字で書き直してください)
タイムスタンプを変更しない
[[ニコニコ技術部 まとめwiki]] **概要 [#qff96948] IRCログ表示の日付指定にXSS脆弱性がありました。影響期間は設置開始〜2016/10/19です。 **影響 [#tc4682be] 特定URLをクリックするとnicotech.jpドメインでJavaScriptを実行される。つまり変なCookie等、食わされてるかもよ。wiki.nicotech.jp,irc.nicotech.jp内ではcookie等を認証等のクリティカルな用途に使ってないですが他のnicotech.jpサイトは確認してないです。 **対策 [#qe2fd4b1] XSSは現在修正済みです。何か毒盛られてないか、気になる人はnicotech.jpドメインのcookieやストレージWebストレージを確認しましょう。 **その他 [#we4e46a5] 本脆弱性はIPAの届出により、通知されました。折角だからIPAに届出した事ない人はnicotechの脆弱性を見つけてIPA届出の練習をしよう。 -他の人に影響が見えないようにお願いします。 wikiはできるだけ「プレビュー」で試す。IRCは皆がいない別チャンネルで試す。 -正規表現の再帰DoSなどのCPU DoS系は試すまえにakira_youに相談して下さい(プロセスKillする準備しておきます) -ネットワークのDDoSには耐性が全くなく、多分やられたらIPSのアカウントBANされて閉鎖です。穏便にお願いします。
テキスト整形のルールを表示する