ブランド注入による格納型クロスサイトスクリプティング (Stored Cross-Site Scripting via textParameter branding injection) 漏洞概要 この脆弱性により、攻撃者は パラメータに悪意のあるスクリプトを注入し、影響を受けたアプリケーション内で任意の JavaScript コードを実行することができます。これにより、セッションハイジャック、マルウェアの配布、または機密情報の漏洩につながる可能性があります。 影響範囲 この脆弱性は、 を使用してブランド注入を行う特定のアプリケーションまたはシステムに影響します。 修正方針 推奨事項: パラメータに対して厳格な入力検証と出力エンコーディングを適用する。 具体的な手順: 1. 入力検証: に許可された文字のみ(例えば、英数字など)が含まれていることを確認する。 2. 出力エンコーディング: の値を HTML ページに出力する際、適切な HTML エンティティエンコーディングを使用する(例: を にエンコードする)。 3. Content Security Policy (CSP) の活用: CSP ヘッダーを実装し、スクリプトの実行元を制限することで、防御層として機能させる。 概念実証コード (PoC) / 悪用コード