灯台下暗し? IPAのセミナー受け付けフォームにXSSの脆弱性

IPAのセミナー受け付け用フォームにクロスサイトスクリプティングの脆弱性が存在していた。

» 2007年02月02日 16時49分 公開
[ITmedia]

 情報処理推進機構(IPA)は2月1日、同機構のセミナー受け付け用フォームにクロスサイトスクリプティング(XSS)の脆弱性が存在していたことを明らかにした。

 脆弱性が存在していたのは、「暗号モジュール試験及び認証制度並びに要求事項の紹介セミナー」の受け付け用フォーム。悪用されると、申し込みを行おうとしたユーザーのWebブラウザ上で不正なスクリプトが実行され、偽のページが表示されたり、情報がほかのサイトに送信される恐れがあった。

 フォームが稼動していたのは、1月26日午後2時から1月31日午前11時までの間で、この間、セミナーの募集定員(70人)を超える申し込みがあった。IPAではXSSの脆弱性の存在を確認した後、当該ページを閉じる措置をとったという。

 IPAではJPCERT/CCとともに、経済産業省の告示に基づき、2004年7月より「情報セキュリティ早期警戒パートナーシップ」制度を実施。ソフトウェアおよびWebアプリケーションに存在する脆弱性情報の受け付け、情報公開を行ってきた。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ