2005/08/20
[Projects::newentry] newentryプラグイン XSS脆弱性対応
以前リリースしたnewentryプラグインですが、れっつ日記のandiさんから、XSS脆弱性が存在するとのご指摘を受けました。
取り急ぎ対応版を作成しましたので、使用している方は対応をお願いします。
修正した箇所は以下の通りなので、カスタマイズされている方はこの辺を手で修正して下さい。
sub distagcode { $_ = shift; s/<.*?>//gm; s/\r|\n//gm; s/&/&/gm; s/&/&/gm; s/"/"/gm; s/'/'/gm; # この行を追加 return $_; }
sub modcomment { $_ = shift; s/<.*?>//gm; # この行を追加 s/&/&/gm; s/&/&/gm; s/"/"/gm; s/'/'/gm; # この行を追加 # 末尾の改行は削除 ...
他にも色々いじりたいところとかあるのですが、今日はちょっとドタバタしててこれ以上のことができません。ごめんなさい。
また、このプラグインを紹介して下さった方々に感謝。うわーい
Posted at 00:00
| WriteBacks (2)
| permalink
WriteBacks
blosxomを掲示板化 #6
掲示板で利用しているnewentryプラグインでXSS脆弱性があるとの事で、さっそく対応版に入れ替えました。お忙しい中、対応に追われて、頭が下がります。少し余裕が出来て、いじりたい所があるとの事なので、どんな物になっていくのかのんびり待ちたいと思います。
Posted by Ck2 Blogger at 2005/08/20 (Sat) 12:13:39
blosxomを掲示板化 #9
ここの所、Ck2 Blogger BBS(blosxom掲示板)に毎日数件のコメントスパムが来ていて、スパム対策を通過してしまって被弾していました。なので、投稿フォームのあるURLをリファラーとして送ってこないコメントは拒否するように、writebackから移植しました。
Posted by Ck2 Blogger at 2005/09/09 (Fri) 10:18:10
http://fukaz55.main.jp/projects/newentry/newentry_mod.trackback
writeback message: Ready to post a comment.