Naoki Takezoe
takez****@gmail*****
2007年 8月 20日 (月) 10:39:14 JST
竹添です。 http://fswiki.poi.jp/wiki.cgi?page=BugTrack%2Dwiki%2F310 で書かれているtailオプションはプラグインのヘルプにも書いていますが 全ページにcommentプラグインを入れるのが面倒な場合にフッタとかに プラグインを入れて使うことを想定したオプションです。 また、任意のプラグインの挿入や、パラメータ書き換えは仕方ないんじゃ ないでしょうか。XSSを引き起こすような、挿入されると困るプラグインは 切っておくべきだと思います。bbsプラグイン等でも使えてしまうわけですし。 # こういうことが可能なことはもちろん認識していましたが、これを # セキュリティホールと言う人がいるとは思っていませんでした。 どうしても防ぎたいのであればcommentプラグインとかbbsプラグインを 切るとかCAPTHAプラグインとかを使うべきだと思いますが…。 FSWiki側で対処するとしても、commentプラグインのtailオプションを 廃止するか、commentプラグイン側にページの更新権限をチェックする ような機能をオプションでつけるか、くらいでしょうか。 07/08/19 に あき<attin****@kk*****> さんは書きました: > あきです。 > > http://fswiki.poi.jp/wiki.cgi?page=BugTrack%2Dwiki%2F310 > に投稿されている内容のとおりですが、このセキュリティホールを悪用すると、 > 任意のFSWikiサイトの任意のページに勝手にコメントを追加できてしまうようです。 > > 添付のHTMLで動作を確認できます。 > > > 拙作のinclude_htmlプラグインと併用されたりなんかすると、 > 下記のような手順でXSSが成立してしまいます。 > > 1.http://fs.wikicms.net/wiki/wiki.xcg?page=CommentPluginTest2 > がこれからイタズラするページです。 > まず最初にページ内容を確認して、内容が空であることを確認してください。 > 空でなければ誰かが実行してしまった後です。 > その場合は「4.」に飛んでください。 > > 2.ページ名に「CommentPluginTest」、コメント欄に下記の4行を入力して投稿 > ---------------------------------------------------------------------- > > !iframe_yahoo.co.jp > <iframe src="yahoo.co.jp" height=400 width=600></iframe> > > ---------------------------------------------------------------------- > > 3.ページ名に「CommentPluginTest2」、コメント欄に下記の3行を入力して投稿 > ---------------------------------------------------------------------- > > {{include_html CommentPluginTest,!iframe_yahoo.co.jp}} > > ---------------------------------------------------------------------- > > 4.http://fs.wikicms.net/wiki/wiki.xcg?page=CommentPluginTest2 > を表示すると、iframeタグにて、yahooのページが表示されてますね? > こんなことができてしまいます。 > > 言うまでもないことですが、拙作のinclude_htmlプラグインが云々などと > いったことは言わないで下さい。 > 要は任意のプラグインを適当に埋め込んだりいろいろできてしまうってこと > を言いたいのです。 > > こういったプラグイン、Commentプラグイン以外にもありますでしょうか? > > _______________________________________________ > Fswiki-dev mailing list > Fswik****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/fswiki-dev > > -- Naoki Takezoe <takez****@gmail*****>