第4回 危険性が理解されにくいネイティブアプリ内XSS（1） | gihyo.jp

今回はネイティブアプリケーション[1]⁠ 内のXSS（Cross-Site Scripting、クロスサイトスクリプティング）脆弱性の傾向と対策について解説します。 ネイティブアプリの現状 内部にHTMLやJavaScriptを使って構築されるスマートフォン向け、デスクトップ向けのアプリケーションが増えています。その結果、今までWebサイト上で起きていたような問題が、ネイティブアプリケーション内でも起こるようになっています。アプリケーション内におけるJavaScriptコードのインジェクションは、クロス「サイト」ではないのでXSSと呼ぶのは適切ではありませんが、脆弱性の原因と対策方法はまさにWebサイトにおけるXSS脆弱性と同じです。 今回は、個人的に問題を発見・報告したことのある事例を挙げながら、「⁠脆弱性をどのように発見するか」「⁠どう修正すればよいのか」「⁠どうすれば未然に防げるのか

[ir_takt]

iOS6以前は、UIWebViewが発行したXHRで端末の情報(アドレス帳/AddressBook.sqlitedbなど)にアクセス可能だったとのこと。現状はどこまでできるのか謎

[pullphone]

『ブラックリスト方式でのHTMLサニタイジングをセキュリティ上の理由で用いてはいけません』『リリースした段階では危険なタグやイベントハンドラを網羅していたつもりでも，将来に渡って安全であると保証できません

[igrep]

"サンドボックス（注3）やパーミッションによって影響が軽減されるものもあれば，通常のWebアプリケーションでは起こりえないような，より深刻な問題を含むケースも"

[tmatsuu]

ウェブサイトでなければXSSを考慮する必要がないと思いこみがちだがそんなことは勿論ない。安易に考えてしまいそうだよね。気をつけよう

[mumincacao]

利用範囲がどんどん拡大してく中でさんどぼっくすが追いついてない感じなのかなぁ？ とりあえずぶらっくりすと方式はほんと気付いたらぽんぽんたぐや属性増えてるからめんてが無理げー過ぎるのです（ーｘ【みかん