平素より当社サービスをご利用いただきまして、誠にありがとうございます。
このたび、当社で提供しております、簡単ショッピングモール「E-Shoppers」に
おきまして、セキュリティホールが発見されました。
セキュリティ対策としてプログラムの修正を行いましたので、お知らせいたします。
※今回のセキュリティ対策に関しましてお客様の作業はございません。
◇Kagoya E-Shoppersについては下記のURLをご覧ください。
https://www.kagoya.net/shop/
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
●対策済みのセキュリティホール
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
今回確認されました以下のセキュリティホールに関しまして対応いたしました。
◆クロスサイトスクリプティング
実行するプログラムのスクリプトにより、不正アクセスやデータの改竄が行なわ
れる可能性があります。
◆SQL Injection
悪意のある SQL文やその一部を入力することで、データベースへの不正アクセス
やデータの改竄が行なわれる可能性があります。
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
●セキュリティ対策による仕様変更
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
今回のセキュリティ対策に際しまして管理画面上で表記が一部以下のように HTML
タグで表示されるようになります。
これはクロスサイトスクリプティングの対策で、不正なHTMLやJavascriptを
Webサイト側で実行されないように、直接文字で表示するよう変更したためです。
管理画面上のみの変更となりますので、閲覧者には見えず、サイト運営上の影響
はございません。
例)
変更前:飲み物
変更後:>font color=”blue”>飲み物>/font>
====================================
