Hatena::ブログ(Diary)

個々一番のHTTP通信

 | 

2008-12-23 もうすぐクリスマスですね

JVN#50327700 PHP におけるクロスサイトスクリプティングの脆弱性がよくわからない件について 23:17  JVN#50327700 PHP におけるクロスサイトスクリプティングの脆弱性がよくわからない件についてを含むブックマーク

PHP の設定で display_errors=off である場合は、この問題の影響を受けません。

の時点でまぁ自分の手元にはほぼ影響ないんですが、該当の記事からのリンク先であるPHPChangeLogにはそれっぽいのがかいてなくて非常に気持ち悪い思いをしてるわけです。

こまってWassrでつぶやいてみたらますがたさんよりこれじゃないかみたいなレスをもらったけど、Cookieまわりっぽいので、CookieってXSSないとそもそもかきかえられないよなぁ(いや、レンタルサーバとかだといろいろあるけえど)とか悩んでるわけです。で、もし詳細ご存知の人いたら教えてください。

というわけでメリーXSS

mgngmgng 2008/12/25 09:37 はじめまして。

もしかしたらこの辺とか関係してませんかね?
# 3年も前ですけど
http://bugs.php.net/bug.php?id=33173

cocoiticocoiti 2008/12/25 21:44 はじめまして。
情報ありがとうございます。そして、該当記事へのはてブのコメントも拝見いたしました。
基本的には、開発者は脆弱性と認めておらず修正されてない可能性が高そうでね・・・。ちょっと聞いてみないとわからないかもですね・・・。

トラックバック - http://d.hatena.ne.jp/cocoiti/20081223
 |