トップ «前の日記(2007-09-30) 最新 次の日記(2007-12-16)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2007-12-15

_ [webappsec] </xssed> Domain: devnull.jp (blueタン、thanks!!)

tDiary の category.rb に問題があるみたい。 他のサイトにも影響があるだろうということでblueタンがIPAにも通報してくれて、開発者も認識済みらしいので、近々正式に対策されたものが出てくるでしょう。

ちなみに自分のところはどうしてるかというと、自分でちょっといじってしまいました。本質的な対策じゃないけど、参考にどうぞ。

--- category.rb.old     2007-12-14 17:50:24.000000000 +0900
+++ category.rb 2007-12-14 17:51:27.000000000 +0900
@@ -339,7 +339,7 @@
                        @mode = :all
                end
 
-               if /\d{4}/ === @year.to_s
+               if /^\d{4}$/ === @year.to_s
                        @mode = :year
                else
                        @year = nil

2007-12-17追記
開発元からアナウンスが出てるので、これで対策した方がいいと思います。
tDiaryの脆弱性に関する報告(2007-12-16)

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析