XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん!
こんにちはこんにちは!! クロスサイトスクリプティングの時間です! XSSというと…! まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね! たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか! (入力) <form action="register.cgi" method="post"> タイトル:<input type="text" name="title"> ← 「ぼくはまちちゃん!」を入力 本文:<input type="text" name="body"> ← 「こんにちはこんにちは!!<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい?</p> <p> タイトル: ぼくはまちちゃん!<br> 本文: こんにちはこんにちは!!<script>alert
SNSがXSS攻撃の格好の標的に――F-Secure
MySpaceを狙った攻撃が相次いだことを受け、F-Secureがほかの人気SNSを調べたところ、ワーム作成に利用できる脆弱性が幾つも見つかったという。 人気ソーシャルネットワーキングサイト(SNS)のMySpaceを標的とした攻撃が相次いで浮上する中、セキュリティ企業のF-Secureは、ほかのSNSにもこうした攻撃に悪用されかねない脆弱性が多数存在すると報告した。 F-Secureによると、Webサイトに存在するクロスサイトスクリプティング(XSS)の脆弱性を突いたWebアプリケーションワームが、新手のマルウェアとして浮上。SNSが格好の標的になっており、MySpaceを標的としたワームは既に2件出現しているという。 このうち昨年10月に問題になった「Samy」はMySpaceで勝手に友達を増やしてしまうワーム。数日前に登場した「Flash」ワームはFlashの脆弱性を突いて、ユーザー
なぜCSSXSSに抜本的に対策をとることが難しいか - いしなお! (2006-03-31)
_ なぜCSSXSSに抜本的に対策をとることが難しいか CSSXSSの説明について、その脅威を過剰に表現している部分がありました。その部分について加筆訂正しています。 @ 2006/4/3 tociyukiさんによる「[web]MSIE の CSSXSS 脆弱性とは何か」および「[web]開発者サイドでの CSSXSS 脆弱性対策」には、より正確なCSSXSS脆弱性の内容およびそれに対するサーバーサイド開発者で可能な対策について紹介されていますので、是非そちらもご覧ください。 @ 2006/4/4 今までも何度かこの辺の話はあまり具体的ではなく書いてきたけど、そろそろCSSXSSを悪用したい人には十分情報が行き渡っただろうし、具体的な話を書いてもこれ以上危険が増すということはないだろうから、ちょっと具体的に書いてみる。 ちなみに私自身は、CSSXSSの攻撃コードなどを実際に試したりといった
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
