2009.9.27
私の大学の学園祭関連のWebサイトなんですが
フォームのタグをサニタイズしてなかったんですよ
発見したのは結構前
通報しておいて,今日見たら
どうやら直ってたっぽいから書くけど
scriptタグとか書き放題
アホかと
バカかと
もうね
常々言ってることだけど
フォーム入力のサイニタイズもできないような
Webアプリケーション開発者は
深く深く反省してほしい
ユーザを絶対に信用してはいけない
これは
セキュリティの鉄則
あと,Webアプリケーションは特に
脆弱性を突かれて
何らかのウイルスなんかを仕込まれたときに
閲覧した人にことごとくウイルスを送り込むことになるので
そのインシデントの大きさをもっと理解するべき
「身内向けサイトだからいいや」では
済まされません
意識してセキュリティ向上に
取り組んでください
