Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: クロスサイトスクリプティング脆弱性 (ver2.0.10)



On Tue, 26 Mar 2002 13:24:58 +0900 
HANAI Akira <hanai-a@xxxxxxxxxxxxxxxxxxxxxxx> wrote:
> cgiの呼び出しにて、存在しないインデックスを
> http://〜/cgi-bin/namazu.cgi.exe?idxname=hoge
> と指定すると、下記のようなエラーが返ってきます。
> namazu: D:\namazu\var\namazu\index/hoge/NMZ.head: No such file or directory
> namazu: D:\namazu\var\namazu\index/hoge/NMZ.body: No such file or directory
> namazu: D:\namazu\var\namazu\index/hoge/NMZ.foot: No such file or directory
> この時、http://〜/cgi-bin/namazu.cgi.exe?idxname=<b>hoge</b> の様に、

> サーバー側:WinNT4.0server/IIS4.0+Namazu 2.0.10
> クライアント側:Win98/IE6.0

手元でテストしたところUNIX版である「namazu.cgi」ではそのメッセージは出
ませんでした。Windows版の「namazu.cgi.exe」だけの問題でしょうか。すい
ません、コードを見ないで憶測です。

絶対パス名が出てしまうのもよろしくないですね。

一般論ですが、設定ミスが原因の場合のエラーのメッセージを徹底的に出さな
くしてしまうと、設定に苦慮することになる一方、親切に出すようにするとセ
キュリティ的に弱くなるわけでして、どうすればよいかというと、画面にメッ
セージを返すのではなく、エラーログのファイルに書き出すようにして、イン
ストールマニュアル中にそのログをよく見るように説明しておくことではない
かと思います。

もう一点、オープンソースソフトウェアといえども、セキュリティ問題の報告
先は、ここのような完全公開の場(即時的にWebで公表される)でない方が望
ましいと思います。


高木 浩光@独立行政法人産業技術総合研究所
http://staff.aist.go.jp/takagi.hiromitsu/