予告inにXSSの脆弱性があったらしい

なんていうか、今更感がありますが。。。今発見したので、取り上げます。

さて、このXSS・・・エスケープ処理を行うことで対策するわけですが、1つ見つかるだけでえらいことになるくせに「うっかり」で作りこんでしまうというものなので、事前に全て防ぐってのが難しいものだったりします。
リリース前に入念にチェックしても、1つぐらい何かしら見つかるものなのです。
エスケープ処理をする癖がついている人でも、たまに忘れたりします。

じゃあ、みんなどうやって潰しているの???

  1. プログラマーにXSSについて、覚えてもらう。(どんなの?何が起きるの?・・・など。)
  2. 知識のある人がソースレビューを徹底する。
  3. 単純な箇所(入力→確認→閲覧→リスト表示・・・みたいなの)については、全部テストする。
  4. 複雑な箇所については、ユーザーの利用頻度やどれだけ複雑な入力(あるいは表示)かによって、攻撃パターンをいくつかテストする。

ってとこですかね?
これでも全部は潰せないんですけど、発生率と事故の遭遇率はけっこう低くできますよね。
ただ、全てにおいて「人任せ」に頼ってしまう部分があるのですよね。
単純なところのテストは、ツールで何とかなるところもあるんでしょうけれど・・・

XSSに限らず、この「うっかり」ってどうやったら完全に潰せるんでしょうねぇ。。。

発見・・・そして対応の速さ

お詫びの中の「被害にあった可能性のある対象者」で

8/3 02:18〜03:55に予告inトップにPCでアクセスした利用者。

また、「対策」で

同日 4:00頃、利用者からの連絡により状況を確認後、全ての不正なコードを排除しました。

と書いていることから、日曜日の深夜、1時間半ぐらいで発見され、即対応したんだろうな・・・
これはけっこう発見→対応が速いほうなのでは?と思います。

・・・実害出ちゃってるし、「はやい!すごい!!」では済まないのはわかりますが。