XSSの話(その3)
本日対応を終了したとの報告を受けたので、どこの話か公開しておく
とりあえず、問題となったのは下記のサイト
http://www-06.ibm.com/jp/domino04/pc/support/index.nsf/home?open=&brand=Notebooks+and+handhelds&family=
IBMとなっているが実質Lenovoのサイト
↓のようなURLを入力することで実際にスクリプトが動作することを確認の後、IPAへ報告しました
http://www-06.ibm.com/jp/domino04/pc/support/index.nsf/home?open=&brand=Notebooks +and+handhelds&family=<script>alert("XSS");</script>
それなりに有名なメーカーでも結構、適当なのね・・・