第7回 いまさらながらクロスサイトスクリプティングの基礎の基礎 | gihyo.jp
今回はWebアプリケーションを作ったことがない方でも分かるようクロスサイトスクリプティング脆弱性を解説します。 クロスサイトスクリプティングとは? 初めてクロスサイトスクリプティングと聞いて、どのような問題なのかすぐに理解できる人はいないと思います。サイトAに記述されたJavaScriptプログラムがサイトB上で実行されるために発生することが問題とされたので、「サイト間をまたがるスクリプトの実行」問題として、クロスサイトスクリプティング(XSS)と名前が付けられました。この命名では直感的に分かりづらい、サイト間にまたがらずHTMLメールなどにJavaScriptを挿入する攻撃でも同じ効果が得られることから、「JavaScriptインジェクション」とも呼ばれるようになっています。 図1 簡単なクロスサイトスクリプティング 例1 簡単な直接攻撃 掲示板サイトに投稿されたデータをエスケープ処
「XSS脆弱性は危険,Cookieを盗まれるだけでは済まない」専門家が注意喚起
「クロスサイト・スクリプティング(XSS)脆弱性を悪用された場合の被害例としては『Cookieを盗まれる』ことがよく挙げられる。しかし,実際にはもっと深刻な被害を受ける恐れがある。管理者や開発者はその危険性を十分に認識して,対策を施す必要がある」――。京セラコミュニケーションシステムのセキュリティ事業部 副事業部長である徳丸浩氏は11月10日,ITproの取材に対して,XSS脆弱性の脅威を強調した。 さまざまなWebサイト(Webアプリケーション)において,XSS脆弱性が相次いで見つかっている。その背景には,開発者などの認識不足があると徳丸氏は指摘する。「適切に対策を施すには,XSS脆弱性のリスクを把握する必要がある」(徳丸氏)。しかしながら,実際には,XSS脆弱性のリスクを過小評価しているケースが少なくないという。 例えば,「(自分たちが運営している)携帯電話向けサイトでは(携帯電話上で
シェアーズカフェのブログ
9月3日、株式会社ケフィア事業振興会(以下、ケフィア)が破産手続きの開始を告知した。グループ3社と合わせて負債総額は1053億円にのぼると報じられている。 干し柿や焼き芋、ヨーグルト等の食品の製造販売に関する事業を行い、半年後には10%程度の利息を得られると説明 ... 「記事を書く上では池上彰さんを参考にすると良い」 「池上解説は執筆の役に立つ」 普段こんな風に執筆指導をすることがある。「要するに池上解説みたいに難しいことを分かりやすく説明しろって意味でしょ」と思った人も多いだろう。 もちろんその通りなのだが「難しいこ ... 「何を書けば良いのか分からない」 普段、ウェブメディア編集長として執筆指導をしていると、必ずと言っていいほど相談されることだ。 では自分はネタに悩むかというと、そういったことはほとんどない。ネタが多すぎてどれから書こうか困ったり、書こうと思っていたネタの ...
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
