2005-12-14 Strutsにおけるクロスサイトスクリプティング脆弱性 お仕事 Struts げげげげげ Strutsにおけるクロスサイトスクリプティング脆弱性*1 Security Advisory: Struts Error Message Cross Site Scripting*2 【調査方法】(保証なし) 1.存在しないパスを叩く 2. a.404がでる=>とりあえずセーフ b.400がでる=>アウト てことかな? Tomcat5.Xではとりあえず大丈夫なようだけど、古いアプリ(Tomcat4.X)を調査してみたら400のでるやつがあるなぁ。 *1:http://www.jajakarta.org/wiki/workspace/index.php?Struts%2FStrutsXssVulnerabilityApacheWiki *2:http://www.hacktics.com/AdvStrutsNov05.html