セキュリティ対策の株式会社ラック

お問い合わせ
閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について
お問い合わせ

セキュリティ事故発生時はこちら

アーカイブ

A Possibility of Internet Information Server/Services Cross Site Scripting

2002年4月11日 | 注意喚起

SNS Advisory No.49

Problem first discovered: 11 Jan 2002
Published: 11 Apr 2002

概要

Microsoft Internet Information Server/Services(IIS)には、潜在的にクロスサイトスクリプティングに繋がりうる問題があります。

詳細

IISには"302 Object Moved"エラー用のページの一部として、クライアントからのリクエスト中に含まれるメタキャラクタを変換することなく、そのままクライアントに送信してしまいます。これは次のようなURIを含むリクエストによって発生します。
GET /存在するディレクトリ名?"><script>alert("aaa");</script>

問題を確認したバージョン

Microsoft Internet Information Server 4.0
Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1

対策

MS02-018として公開されているIIS用の累積的な修正プログラムを適用することでこの問題を解消することができます。

Microsoft Security Bulletin MS02-018:

http://www.microsoft.com/technet/security/bulletin/ms02-018.asp

Microsoft Security Bulletin MS02-018(日本語版):

http://www.microsoft.com/japan/technet/security/bulletin/MS02-018.asp

発見者

山崎圭吾 (ラック)

アーカイブ一覧に戻る

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

page top