ASP.NET （Mobile Controls） におけるクロスサイトスクリプティングの脆弱性

LAC Advisory No.106

Problem first discovered on: Wed, 11 Mar 2009
Published on: Wed, 20 Jul 2011

脅威度

中

概要

ASP.NET には、クロスサイトスクリプティングの脆弱性が存在するモバイル端末向けウェブアプリケーションを作り出す問題があります。

詳細

ASP.NET の Mobile Controls には、モバイル端末に向けて、URL中に埋め込まれたセッションID を取り扱う機能が存在します。セッションID 部分に「"」（%22） を含めたリクエストを送信した場合に、<mobile:link> によって生成されるリンクが「"」を適切にエスケープしていないため、任意のスクリプトが混入される恐れがあります。

(例)
http://example.jp/(X(%22onmouseover=%22document.cookie='test=lac'%22x=%22))/asp/test.aspx
↓
<a href="/(X("onmouseover="document.cookie='test=lac'"x=")S(5u1ruimjecvp 5vzbry5n2545))/asp/other.aspx">link</a>

影響を受ける バージョン

Microsoft ASP.NET （ Mobile Controls ）

対策

[ベンダ情報]をもとに、必要な対策をとってください。

[ベンダ情報]
http://www.asp.net/learn/whitepapers/add-mobile-pages-to-your-aspnet-web-forms-mvc-application

発見者

山崎 圭吾（ラック）

謝辞：
本問題は、情報処理推進機構（IPA） および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い、2009年3月に届出をおこなったものです。

http://jvn.jp/jp/JVN87908726/index.html

http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000051.html