DevSumi2009 Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」 - monjudoh’s diaryXSSで何ができるか? cookie情報、formの送信内容を盗む、偽の情報を見せる 「信頼出来ないWebサイト」でのXSSはそもそも無意味 信頼してほしいならXSSくらい直せ イントラだったら関係ない? むしろイントラ内の方が盗みたい情報がいっぱいある JSONによる秘密情報の漏洩 JSON Hijacking Object.prototype.__defineSetter_で特定プロパティが設定されたら何らかの処理を行うようにする。 JSONをHTMLとして読み込むと上記のコードが入る。 対策 先頭にwhile(1);をつけて、JavaScriptとして実行出来ないようにする(Googleがやった) POSTのみ許可 XHRで特定のリクエストヘッダをつけるようにする レスポンスヘッダにcharsetを指定する charsetにUTF-7を指定すると、きちんとエスケープされているJSON
