第4回 危険性が理解されにくいネイティブアプリ内XSS(1) | gihyo.jp今回はネイティブアプリケーション[1] 内のXSS(Cross-Site Scripting、クロスサイトスクリプティング)脆弱性の傾向と対策について解説します。 ネイティブアプリの現状 内部にHTMLやJavaScriptを使って構築されるスマートフォン向け、デスクトップ向けのアプリケーションが増えています。その結果、今までWebサイト上で起きていたような問題が、ネイティブアプリケーション内でも起こるようになっています。アプリケーション内におけるJavaScriptコードのインジェクションは、クロス「サイト」ではないのでXSSと呼ぶのは適切ではありませんが、脆弱性の原因と対策方法はまさにWebサイトにおけるXSS脆弱性と同じです。 今回は、個人的に問題を発見・報告したことのある事例を挙げながら、「脆弱性をどのように発見するか」「どう修正すればよいのか」「どうすれば未然に防げるのか
