akiyan.com : 新たなXSS(CSS)脆弱性、EBCSS
新たなXSS(CSS)脆弱性、EBCSS 2006-03-30 かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合) 何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。 今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化(escape)することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。 ちなみ
1分でわかる「X-ナントカ」HTTPレスポンスヘッダ - 葉っぱ日記
最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
