ガルーンのスマホ版の脆弱性

  • 2
    いいね
  • 0
    コメント
この記事は最終更新日から1年以上が経過しています。

脆弱性"&'<<>\ Advent Calendar 2015 10日目の記事です。

%5c\。ソースを見ると、

    grn.Component.Autocomplete.AutocompleteUserFaci.Msg = {
        'place_holder': 'ユーザー/施設検索',
        'search_text':  '\x3cimg src\x3dx onerror\x3dalert(location)\x3e'
    };

このような箇所がある。ページを開いただけでは動かないけれど、虫眼鏡アイコンをクリックして、検索欄を出すとスクリプトが動作する。JavaScriptの文字列を動的に生成するのは危険

PC用とスマホ用でページが別になっている場合に、スマホ版の脆弱性が見逃されて残っていることが多い気がする。スマホならもちろん攻撃は成立するし、このようなサイトではPC用のURLにスマホでアクセスしたときはスマホ用のURLにリダイレクトするけれど、スマホ用のURLにPCでアクセスしたときはリダイレクトしないことが多いので、PCも攻撃できる。