修正されたようなので簡単にメモっておきます。
お知らせが公開されていたヤオコーのWebページのURLが以下のようになっていました。
- http://www.yaoko-net.com/ir/document.php?date=日付&title=タイトル&url=アドレス
XSSを見慣れた人ならタイトルやアドレスなどのパラメータを操作するとやばそうだな、というのがわかると思います。
実際気づいた人は多く以下のように話題になりました。
- 【爆笑】ファーストサーバ被害のヤオコーのホームページが不謹慎だけど笑える - NAVER まとめ
- http://www.yaoko-net.com/ir/document.php - Togetter
具体的な問題点
- 文字列のエスケープなどがされていなかったため、任意の文字列、スクリプトを埋め込むことができました。
- urlで指定しているアドレスを、特定のサイトに限定していなかったため任意のファイルを埋め込ませることができた。
- urlで指定しているアドレスに、file:///の形式で指定するとサーバー内のファイルを表示させることができた。
