Perlを使って脆弱性を検証する:CodeZine
はじめに 今回はXSSの脆弱性をチェックするPerlスクリプトを作成したいと思います。すべてのXSSによる脆弱性が回避できるわけではありませんが、テストコード作成のヒントになれば幸いです。 対象読者 Webアプリケーション開発者で、XSSのテストケースを作成したい方。 必要な環境 Perl 5.8以上が動作する環境。基本動作の確認はMac OS Xを利用しました。次のPerlモジュールを利用するので、あらかじめインストールしておいてください。 Template::Toolkit Web::Scraper Test::Base またCGIを使用するので、ApacheなどのCGIが実行できるWebサーバを用意してください。 解説内容 ソースコード解説 まず最初にソースコードの解説をします。 xss.pl
Part4 クロスサイト・スクリプティングと強制ブラウジング
Part4では,ユーザーのWebブラウザにスクリプトを送り込み,それを実行させるクロスサイト・スクリプティングの手口と対策,および強制ブラウジングの手口と対策を詳しく見ていこう。 クロスサイト・スクリプティングは,ユーザーのWebブラウザにスクリプトを送り込み,それを実行させる攻撃手法である(図1)。セッションIDを盗むのに使われることが多い。セッションIDを盗むほかの手口はWebサイトとブラウザの間の通信をSSLで暗号化していれば防げるが,クロスサイト・スクリプティングはSSLを使っていても防げない。 ほとんどのWebアプリはCookie(クッキー)というテキスト形式のデータでセッションIDを管理している。クロスサイト・スクリプティングが標的にするのはこのCookieだ。盗んだCookieをクラッカが使えば,どのパソコンからでも正規ユーザーになりすまして狙ったWebサイトに不正アクセスで
Atom や RDF を利用したXSS - 葉っぱ日記
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
