アーカイブ
ASP.NET (Mobile Controls) におけるクロスサイトスクリプティングの脆弱性
2011年7月20日 | 注意喚起
LAC Advisory No.106
Problem first discovered on: Wed, 11 Mar 2009
Published on: Wed, 20 Jul 2011
脅威度
中
概要
ASP.NET には、クロスサイトスクリプティングの脆弱性が存在するモバイル端末向けウェブアプリケーションを作り出す問題があります。
詳細
ASP.NET の Mobile Controls には、モバイル端末に向けて、URL中に埋め込まれたセッションID を取り扱う機能が存在します。セッションID 部分に「"」(%22) を含めたリクエストを送信した場合に、<mobile:link> によって生成されるリンクが「"」を適切にエスケープしていないため、任意のスクリプトが混入される恐れがあります。
(例)
http://example.jp/(X(%22onmouseover=%22document.cookie='test=lac'%22x=%22))/asp/test.aspx
↓
<a href="/(X("onmouseover="document.cookie='test=lac'"x=")S(5u1ruimjecvp 5vzbry5n2545))/asp/other.aspx">link</a>
影響を受ける バージョン
Microsoft ASP.NET ( Mobile Controls )
対策
[ベンダ情報]をもとに、必要な対策をとってください。
[ベンダ情報]
http://www.asp.net/learn/whitepapers/add-mobile-pages-to-your-aspnet-web-forms-mvc-application
発見者
山崎 圭吾(ラック)
謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い、2009年3月に届出をおこなったものです。
http://jvn.jp/jp/JVN87908726/index.html
http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000051.html