アーカイブ
A Possibility of Internet Information Server/Services Cross Site Scripting
2002年4月11日 | 注意喚起
SNS Advisory No.49
Problem first discovered: 11 Jan 2002
Published: 11 Apr 2002
概要
Microsoft Internet Information Server/Services(IIS)には、潜在的にクロスサイトスクリプティングに繋がりうる問題があります。
詳細
IISには"302 Object Moved"エラー用のページの一部として、クライアントからのリクエスト中に含まれるメタキャラクタを変換することなく、そのままクライアントに送信してしまいます。これは次のようなURIを含むリクエストによって発生します。
GET /存在するディレクトリ名?"><script>alert("aaa");</script>
問題を確認したバージョン
Microsoft Internet Information Server 4.0
Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1
対策
MS02-018として公開されているIIS用の累積的な修正プログラムを適用することでこの問題を解消することができます。
Microsoft Security Bulletin MS02-018:
http://www.microsoft.com/technet/security/bulletin/ms02-018.asp
Microsoft Security Bulletin MS02-018(日本語版):
http://www.microsoft.com/japan/technet/security/bulletin/MS02-018.asp
発見者
山崎圭吾 (ラック)