2005/08/20

 

[Projects::newentry] newentryプラグイン XSS脆弱性対応

 以前リリースしたnewentryプラグインですが、れっつ日記のandiさんから、XSS脆弱性が存在するとのご指摘を受けました。
 取り急ぎ対応版を作成しましたので、使用している方は対応をお願いします。

 → newentryプラグイン (05/08/20版)

 修正した箇所は以下の通りなので、カスタマイズされている方はこの辺を手で修正して下さい。 

sub distagcode {
	$_ = shift;
	s/<.*?>//gm; s/\r|\n//gm;
	s/&amp;/&/gm; s/&/&amp;/gm; s/"/&quot;/gm; s/'/&#39;/gm;  # この行を追加
	return $_;
}

sub modcomment {
	$_ = shift;
	s/<.*?>//gm;  # この行を追加
	s/&amp;/&/gm; s/&/&amp;/gm; s/"/&quot;/gm; s/'/&#39;/gm;  # この行を追加

# 末尾の改行は削除
...

 他にも色々いじりたいところとかあるのですが、今日はちょっとドタバタしててこれ以上のことができません。ごめんなさい。
 また、このプラグインを紹介して下さった方々に感謝。うわーい

Posted at 00:00 | WriteBacks (2) | permalink
WriteBacks

blosxomを掲示板化 #6

掲示板で利用しているnewentryプラグインでXSS脆弱性があるとの事で、さっそく対応版に入れ替えました。お忙しい中、対応に追われて、頭が下がります。少し余裕が出来て、いじりたい所があるとの事なので、どんな物になっていくのかのんびり待ちたいと思います。

Posted by Ck2 Blogger at 2005/08/20 (Sat) 12:13:39

blosxomを掲示板化 #9

ここの所、Ck2 Blogger BBS(blosxom掲示板)に毎日数件のコメントスパムが来ていて、スパム対策を通過してしまって被弾していました。なので、投稿フォームのあるURLをリファラーとして送ってこないコメントは拒否するように、writebackから移植しました。

Posted by Ck2 Blogger at 2005/09/09 (Fri) 10:18:10
TrackBack ping me at
http://fukaz55.main.jp/projects/newentry/newentry_mod.trackback
Post a comment

writeback message: Ready to post a comment.















Syndicate this site (XML)  Subscribe with Bloglines  Subscribe with livedoor Reader    blosxom 2.0.2