脆弱性"&'<<>\ Advent Calendar 2015 10日目の記事です。
%5cは\。ソースを見ると、
grn.Component.Autocomplete.AutocompleteUserFaci.Msg = {
'place_holder': 'ユーザー/施設検索',
'search_text': '\x3cimg src\x3dx onerror\x3dalert(location)\x3e'
};
このような箇所がある。ページを開いただけでは動かないけれど、虫眼鏡アイコンをクリックして、検索欄を出すとスクリプトが動作する。JavaScriptの文字列を動的に生成するのは危険。
PC用とスマホ用でページが別になっている場合に、スマホ版の脆弱性が見逃されて残っていることが多い気がする。スマホならもちろん攻撃は成立するし、このようなサイトではPC用のURLにスマホでアクセスしたときはスマホ用のURLにリダイレクトするけれど、スマホ用のURLにPCでアクセスしたときはリダイレクトしないことが多いので、PCも攻撃できる。