2005年05月20日

PukiWikiで添付FileによるXSS

  • PukiWikiのattachプラグイン(ファイル添付機能)を利用したXSS(クロスサイトスクリプティング)が可能であることが解りました。XSSを通じて:

    第三者がアップロードした任意のスクリプトを(添付したそのWikiサイトの権限で、閲覧者のPCにおいて)実行する可能性があります。また、それによって:
    ・同じサーバー(ドメイン)でCookieを使用しているサービスがある場合に、Cookieを盗まれる可能性があります。
    ・Wikiサイトをフィッシング詐欺等に利用される可能性があります。
    PukiWikiはデフォルトで第三者にファイルのアップロードを許可しています。第三者にファイルのアップロードを許可していない設定あるいは構成にしているサイトはこの問題の影響をを受けません。

    第三者に「ファイルをアップデートする機能」へのアクセスを許可している場合、以下の「回避策」に従い、「第三者に対する」アップロード機能の利用を禁止するか、添付ファイル機能を無効にして下さい。

ということで添付ファイルとして何かをアップロードすることでPukiWikiが動作しているサイトにてXSSの脆弱が見つかりました。

あるって解ればソースをちゃんと読めば脆弱を見つけることはできそうですが、面倒なので今回はスルー(笑)

とりあえず、公開している1サイトだけ添付ファイル機能を管理者限定にしました。

肝心の脆弱ですが、書き方から見ておそらく添付ファイルとしてアップロードしたファイル中に含まれるJavaScriptやVBSが実行できてしまうと言う類ではないかと思います<HTMLなんかアップロードすると簡単にできそうですし

解決策としてはアップロードされた全てファイルをサーバ側でZIPなどで圧縮してしまって、ダウンロードするときはそれをダウンロードさせてブラウザでは一切何も表示させなくするのがラクチンですが、そうすると画像が表示できないとか別の問題が発生しますね。

なんにしても、一朝一夕でなんとかなる問題ではなさそうなので、今後の動向が注目されます。

Posted by Takuchan at 2005年05月20日 01:53 | トラックバック(0)