PHPで画像XSSの一味変わった対策。 - cybertのセキュリティ日記
IE仕様?をついた画像ファイルを使用したXSSというのがあります。なかなか決定的な対策がなく、私も困っています。画像の再コンバートとか、画像のファイルヘッダを確認するのも。コメントとかカラーパレットとかで、決定的なものがありません。 が、ちょっと作ってみたのが、 1.空の画像を作って 2.ユーザのアップロードしてきた画像を空の画像にコピーする これだといけそうな気がしたので作っていました。 PHPのimagecopyを使って画像XSSをやっつける。どうぞHACKしてください。 http://tepppei.com/hackme/img.php 画像XSSの詳しくは有名な方々のブログの方にお任せ。 <html> 画像XSSの対策をしました。<br> 任意の画像ファイルをアップロードしてください。<br> 完了したら対策した画像のリンクが出ます。<br> XSSが動いたらおめでとうですね。連絡
XSSとCSRFの簡単な説明について取りざたされているようです - hoshikuzu | star_dust の書斎
なんといいますか、火元や、火がついたところを拝見しましたがやはりピンときません。 私はそもそもCSRFとセッションライディングとの差異をわかっていないフシがあります。なのでだいそれたことがいえないのですけれど。 んなので、現象面でXSSについてかねてよりの持論をちょいと。XSSは、ブラウザ上で、ブラウザが閲覧者に提示するDOMの構造に対する破壊をアタッカーが試みる手法と考えています。別の言い方をすればサーバ側で意図しているシンタックスな構造の提供の破壊をもって、セマンティックな意味を破壊者側の都合の良いように偽造するものです。禅問答ですか?押さえておきたいのですが、サーバ側に脆弱性があってもブラウザ側に脆弱性があってもXSSは成立しうります。 以下は上とは無関係な派生。 ※ブラウザにXSS誘発の脆弱性があると本当に脅威です。過去にもあったように・・・どういうわけかサーバ側の脆弱性のほうが優
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
