Article 24 at 02/03/28 15:08:33 From: zn@mbf.nifty.com Subject: [webrickja:24] test.cgiにクロスサイトスクリプティング脆弱性

Index: [Article Count Order] [Thread]

Date:  Thu, 28 Mar 2002 15:08:16 +0900
From:  Kazuhiro NISHIYAMA <zn@mbf.nifty.com>
Subject:  [webrickja:24] test.cgiにクロスサイトスクリプティング脆弱性
To:  webrickja@notwork.org
Message-Id:  <20020328144111.B6FD.ZN@mbf.nifty.com>
X-Mail-Count: 00024

西山和広です。

test.cgiをみていて気づいたのですが、クロスサイトスクリプティング脆弱性が
存在するようです。
test.rhtmlも同様の問題があるようです。


-- 
|ZnZ(ゼット エヌ ゼット)
|西山和広(Kazuhiro NISHIYAMA)


--- /usr/share/doc/webrick/examples/httpd/htdocs/test.cgi	Thu Jan 24 14:18:49 2002
+++ /tmp/htdocs/test.cgi	Thu Mar 28 14:35:58 2002
@@ -17,7 +17,9 @@
   def dump_data(hash)
     pre{
       data = ""
-      hash.sort.each{|key, val| data << "#{key}: #{val.inspect}\n" }
+      hash.sort.each{|key, val|
+        data << "#{CGI.escapeHTML key}: #{CGI.escapeHTML val.inspect}\n"
+      }
       data
     }
   end