大垣です。 office wrote: > phpNukeとphpBBに共通のクロスサイトスクリプティング脆弱性があることが > 明らかになり、 Computer CopsのZhen-XjellことPaul Laudanski氏によって > 修正方法が公開されました。 >> http://phpnuke.org/modules.php?name=News&file=article&sid=4136&mode=&order=0&thold=0 > http://www.computercops.biz/downloads/PHPNuke/xss_patch_100.txt 自前の正規表現でユーザー入力をチェックしている方は特に注意が 必要なようですね。 PHP BBの場合はタグが必要なので適用外ですが、タグが必要ない 場合はきちんと全てHTMLエスケープしましょう。 # コードをよく見ていないので外しているかもしれませんが、 # strip_tagsを使うpatchの方がよさそうな気もしますが、、 いまさら、と言う感もありますが、ページを書き換えられる セキュリティーホールと違って、他人事ではありません。ク ロスサイトスクリプティングの解説を希望される方が多い場 合は解説ページを作ります。下記のURLで投票してください。 http://www.webds.net/modules/xoopspoll/index.php?poll_id=3 -- Yasuo Ohgaki