Geekなぺーじ : メタ情報によるXSS
先日、なかなか強烈なXSS攻撃手法が公開されていました。 DNSへの問い合わせ結果にJavaScriptを埋め込んでしまおうというものです。 SkullSecurity: Stuffing Javascript into DNS names DarkReading: Researcher Details New Class Of Cross-Site Scripting Attack nCircle: Meta-Information Cross Site Scripting (PDF) 自動生成されるWebページ中に、DNSによる名前解決結果がエスケープされない状態で含まれていると、JavaScriptが実行されてしまうという仕掛けです。 「hogehoge.example.com」が本来ならば「198.1.100.3」というようなIPアドレスが結果として返るところを、DNSに細工を行っ
クロスサイトスクリプティング脆弱性 | 鳩丸ぐろっさり (用語集)
用語「クロスサイトスクリプティング脆弱性」についてクロスサイトスクリプティング脆弱性 (くろすさいとすくりぷてぃんぐぜいじゃくせい)話題 : Web / セキュリティ "Cross-Site Scripting" とは、「サイトを跨ってスクリプトを実行する」という程度の意味で、もう少しかみ砕くと「他人様のサイトで勝手にスクリプトを実行する」というような意味です。Web アプリケーションで、入力されたデータの内容をチェックせずに HTML 内に出力していると、HTML 内にスクリプトなどの任意のコードを埋め込むことができてしまいます。このような状態を「クロスサイトスクリプティング脆弱性がある」と言います。 わかりやすい例としては、任意のタグがそのまま書き込めてしまう掲示板が挙げられます。悪意あるユーザが <script> などのタグを含む内容を投稿すると、投稿内容を閲覧したときにスクリプトが
第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
