ご丁寧に、
http://red-souls.jp/ichounoki/rnote/software/?d="><script >alert(String.fromCharCode(88,83,83))</script>&p=3と言う風にアクセスしてくださった方がおられたので、 XSS(クロスサイトスクリプティング)というものの存在に気づいた。
気づいたので対処した。 rNote-re に対処したのだが、 rNote の rnote.php がもっていた問題なので、題名は「 rNote に・・・」とした。
CVE Details に rNote の脆弱性についての記述があった。 GET で取得するパラメータ d と u に、スクリプトを埋め込まれると実行してしまう脆弱性があるとのことだったので、そのあたりを修正し、スクリプトを埋め込まれても実行されないようにした。
まあ、結果的に脆弱性を消すことができたのでよかったのだろうが、わざわざこんな人の来ないようなブログに来て XSS を埋め込んでくるとは、世の中には暇人もいたもんだと呆れた。
この記事のリンク元
この記事のリンク用URL&トラックバックURL : https://red-souls.jp/ichounoki/rnote/dev/20200314_003757842956.htm