Google 検索アプライアンス に脆弱性が出たようだ。
Google 検索アプライアンス ダイナミック ナビゲーションにクロスサイトスクリプティングの脆弱性(JVNVU#94205147)
自分の知識が怪しいので、XSS についておさらいしよう。
クロスサイトスクリプティング脆弱性とは?
- リスクはcookieの盗難とページの改ざん
- 対策は入力チェックとサニタイジング
ということで、この製品(アプライアンス)に、XSSの脆弱性があったということだった。
ActiveXを動かしたいということで、とかく信頼済みサイトに入れたがる。
そんなサイトに脆弱性があったら、cookieの盗難どころの騒ぎではなく、backdoor を仕込むのは容易に出来てしまう。
しかも、XSSの脆弱性は、インフラ管理者では防ぎようがないのも厄介な問題。
