[PHP-users 8196] Re: [FYI] phpNuke, phpBB にクロスサイトスクリプティング脆弱性に関する修正

[Yasuo Ohgaki]

大垣です。

office wrote:
> phpNukeとphpBBに共通のクロスサイトスクリプティング脆弱性があることが
> 明らかになり、 Computer CopsのZhen-XjellことPaul Laudanski氏によって
> 修正方法が公開されました。
> 
> http://phpnuke.org/modules.php?name=News&file=article&sid=4136&mode=&order=0&thold=0
> http://www.computercops.biz/downloads/PHPNuke/xss_patch_100.txt

自前の正規表現でユーザー入力をチェックしている方は特に注意が
必要なようですね。

PHP BBの場合はタグが必要なので適用外ですが、タグが必要ない
場合はきちんと全てHTMLエスケープしましょう。

# コードをよく見ていないので外しているかもしれませんが、
# strip_tagsを使うpatchの方がよさそうな気もしますが、、

いまさら、と言う感もありますが、ページを書き換えられる
セキュリティーホールと違って、他人事ではありません。ク
ロスサイトスクリプティングの解説を希望される方が多い場
合は解説ページを作ります。下記のURLで投票してください。

http://www.webds.net/modules/xoopspoll/index.php?poll_id=3

--
Yasuo Ohgaki