SNS Advisory No.49
A Possibility of Internet Information Server/Services Cross Site Scripting

Problem first discovered: 11 Jan 2002
Published: 11 Apr 2002

概要:
Microsoft Internet Information Server/Services(IIS)には、潜在的にクロスサイトスクリプティングに繋がりうる問題があります。


詳細:
IISには"302 Object Moved"エラー用のページの一部として、クライアントからのリクエスト中に含まれるメタキャラクタを変換することなく、そのままクライアントに送信してしまいます。これは次のようなURIを含むリクエストによって発生します。

GET /存在するディレクトリ名?"><script>alert("aaa");</script>


問題を確認したバージョン:
Microsoft Internet Information Server 4.0
Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1


対策:
MS02-018として公開されているIIS用の累積的な修正プログラムを適用することでこの問題を解消することができます。

Microsoft Security Bulletin MS02-018:
http://www.microsoft.com/technet/security/bulletin/ms02-018.asp

Microsoft Security Bulletin MS02-018(日本語版):
http://www.microsoft.com/japan/technet/security/bulletin/MS02-018.asp


発見者:
山崎圭吾 (LAC)


免責:
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。


再配布について:
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/49.html

  • 次のページ
  • 前のページ

サイトガイド

トピックス

セキュリティ情報

教育・資格取得

セキュリティアカデミー

サービス&製品

コンサルティングサービス

構築サービス

監視・診断サービス

取り扱いセキュリティ製品

緊急対応/フォレンジック調査
[サイバー119]

企業情報

採用情報

お問い合わせ

営業統括部
03-6757-0113(9:00-17:30)
sales@lac.co.jp
[QRコード]

このページの先頭へ

リファレンス

お問い合わせ・資料請求

営業統括部:03-5337-2610(営業時間 平日9:00~17:30)、sales@lac.co.jp

カテゴリ内メニュー

  • LAC Advisory

スペシャルリンク

  • Webサイト無料チェックツール SecureSite Checker Free
  • LACメルマガの登録
  • WAF24+導入事例理化学研究所