会社が運営してるサイトに「クロスサイトスクリプティングできるよ」ってIPAから連絡があった。
検索キーワードに「<script>alert(1)</script>」とか入れて、反応したらアウトってやつで、運営サイトは前任者が作ったもので、ブラウザでソース見たら、パスワードが見えるとか、ちょっとセキュリティに関しては甘かった。
サイト表示する時に、タグで使う<>とかを<>って変換して表示するのがお約束なのだが、初歩の初歩だから忘れないで欲しいな 🙁
IPAって組織があって、協力者が不具合を見つけて報告し、攻撃者の被害を未然に防いでくれる仕組みだけど、有り難いのう。
これなんかは、IPAに報告した方が良かったな。