XSSの攻撃手法いろいろ - うなの日記
html5securityのサイトに、XSSの各種攻撃手法がまとめられているのを発見せり!ということで、個人的に「お!」と思った攻撃をサンプルつきでご紹介します。 1. CSS Expression IE7以前には「CSS Expressions」という拡張機能があり、CSS内でJavaScriptを実行できたりします。 <div style="color:expression(alert('XSS'));">a</div> 確認 @IT -[柔軟すぎる]IEのCSS解釈で起こるXSS で詳しく解説されていますが、CSSの解釈が柔軟なことともあいまって自前で無害化するのはなかなか困難。以下のようなコードでもスクリプトが実行されてしまいます。 <div style="color:expr/* コメントの挿入 */ession(alert('XSS'));">a</div> 確認 <div s
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
最も安全なブラウザを実行しているのは誰か
多くのユーザーは、ブラウザのアップデートが必要になってもすぐには実行しないという。Internet ExplorerやFirefoxなど、それぞれを利用するユーザーによっても感覚は違うようだ。 多くのユーザーは、ブラウザのアップデートが必要になってもすぐには実行しないという。だが、最近公表されたGoogleログの調査結果だけでそう結論付けるのは早計だ。 先週、ブラウザのセキュリティに関する大規模な調査結果を公表した研究者たちは、優れたアイデアと精度の高いデータを持っていたにもかかわらず、残念なことに結論を急ぎ過ぎたようだ。彼らの分析手法を詳細に検討すれば、少し異なる事実が見えてくる。 ETH Zurich、Google、IBMの研究者たちが、GoogleのWeb検索とWebアプリケーションを利用する全世界のユーザーの2007年1月から2008年1月までのログデータを分析した。ただ、そのデー
IE 8のセキュリティ機能とそれによって生じる懸念
米マイクロソフトは先日,次期Webブラウザ「Internet Explorer(IE)8」のベータ1を公開した(関連記事)。ベータ1版では,開発者向けツールやその他機能が多くの関心を集めたが,ほかにも注意しておくべき新たなセキュリティ機能と懸念が存在する。 新しいセキュリティ機能の一つに「ドメイン強調表示」がある。URLのうちドメイン名以外の部分をトーンダウンして表示する機能だ。 フィッシング・サイトは,しばしばスクリーンショットで示したようなドメイン名を使う。こうしたドメイン名には,ユーザーがアクセスしようとしているWebサイトのURLに似せた文字列が含まれているため,ユーザーが本物のWebサイトと誤解することがよくある。ユーザーがWebブラウザをIE 8にアップグレードし,このドメイン強調表示による保護機能を意識するようになれば,フィッシング・サイトを避けるのに役立つだろう。「Fire
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
