LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起 | 

A Possibility of Internet Information Server/Services Cross Site Scripting

SNS Advisory No.49

Problem first discovered: 11 Jan 2002
Published: 11 Apr 2002

概要

Microsoft Internet Information Server/Services(IIS)には、潜在的にクロスサイトスクリプティングに繋がりうる問題があります。

詳細

IISには"302 Object Moved"エラー用のページの一部として、クライアントからのリクエスト中に含まれるメタキャラクタを変換することなく、そのままクライアントに送信してしまいます。これは次のようなURIを含むリクエストによって発生します。
GET /存在するディレクトリ名?"><script>alert("aaa");</script>

問題を確認したバージョン

Microsoft Internet Information Server 4.0
Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1

対策

MS02-018として公開されているIIS用の累積的な修正プログラムを適用することでこの問題を解消することができます。

Microsoft Security Bulletin MS02-018:

http://www.microsoft.com/technet/security/bulletin/ms02-018.asp

Microsoft Security Bulletin MS02-018(日本語版):

http://www.microsoft.com/japan/technet/security/bulletin/MS02-018.asp

発見者

山崎圭吾 (ラック)


この記事は役に立ちましたか?

はい いいえ