タグ

関連タグで絞り込む (1)

タグの絞り込みを解除

securityとXSSに関するmanholeのブックマーク (2)

  • SPAセキュリティ超入門 | ドクセル

    スライド概要 SPA(Single Page Application)の普及が一層進んでおり、従来型のMPAを知らないウェブ開発者も生まれつつあるようです。SPA対応のフレームワークでは基的な脆弱性については対策機能が用意されていますが、それにも関わらず、脆弱性診断等で基的な脆弱性が指摘されるケースはむしろ増えつつあります。 セッションでは、LaravelReactで開発したアプリケーションをモデルとして、SQLインジェクション、クロスサイトスクリプティング、認可制御不備等の脆弱性の実例を紹介しながら、現実的な対策について紹介します。LaravelReact以外のフレームワーク利用者にも役立つ説明を心がけます。 PHPカンファレンス2022での講演資料です。 PHPカンファレンスでの動画URL https://www.youtube.com/watch?v=jZ6sWyGxcCs

    SPAセキュリティ超入門 | ドクセル
  • 開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

    はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの冨士です。 稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っているエンジニアの多くの方が知っている脆弱性です。ですが、私はWebアプリケーションの脆弱性診断を行ってきた経験の中で多くのXSSを目にしてきましたし、依然として検出率の多い脆弱性の一つだと感じています。 その認知度や、一般的な対策方法のハードルの低さ(設計や仕様によっては対策工数が大きい場合もありますが)にも関わらずXSSの検出率が多いのは、直感的にリスクがわかりづらく、アラートをあげるだけの紹介が多いことが一つの要因ではないかと考えています。 すなわち、興味範囲が「どのよう

    開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog
    manhole
    manhole 2022/07/12
    “ドメインによってWebサイトが正規のものだと判別され、メールアドレスとパスワードの自動フィルインが行われる”
  • 1