タグ

XSSと2012年に関するbeth321のブックマーク (1)

  • 情報処理試験問題に学ぶJavaScriptのXSS対策

    指摘事項A中の(a)は、他を見なくても「セキュア」属性だと分かりますね。徳丸(体系的に学ぶ 安全なWebアプリケーションの作り方)では、4.8.2クッキーのセキュア属性不備(P209)に説明があります。 指摘事項Bは、ここだけ読むと、XSSのようでもあり、サーバーサイドのスクリプトインジェクションのようでもありますが、検査ログからXSSであることがわかります(下図はIPAからの引用)。XSSは、徳丸4.3.1クロスサイトスクリプティング(基編)と4.3.2クロスサイトスクリプティング(発展編)にて説明しています。 ここまでは、ごく基的な問題ですが、問題文P6に出てくる以下の部分は、少しだけひねってますね。 このプログラムは、利用者が入力した文字列をダイアログに表示するために、受け取ったパラメタの値をスクリプトに埋め込み、動的にスクリプトを生成する。図4の(   c    )行目では

    情報処理試験問題に学ぶJavaScriptのXSS対策
  • 1