クロスサイトスクリプティング(XSS)ってたまに聞くけどいったい何のこと? | hi-context
クロスサイトスクリプティング(XSS)とは? クロスサイトスクリプティングとは、攻撃者がセキュリティ上穴のあるWebサイトへ、悪意のあるスクリプトを埋め込む攻撃です。 世間を騒がせた大きな事件としては、パソコン遠隔操作冤罪事件で横浜市のサイトに小学校襲撃予告の書き込みがされたことは、皆さまも記憶に新しいかと思います。 この時に行われた攻撃手法がXSSの一種であるクロスサイトリクエストフォージェリ(CSRF)というものです。 XSSは、悪意のあるスクリプトを埋め込む攻撃の総称であり様々な攻撃手法があります。 具体的にそれらがどのような、攻撃方法なのか解説して行きたいと思います。 セッションハイジャック 例えば、ショッピングサイトで買物をしたことがある方は想像しやすいと思います。 買物かごの情報を複数ページ間で持ち回り、内容が保持された状態になっている体験をされたことがあると思います。こ
ultraistのブックマーク / 2008年5月19日 - はてなブックマーク
元の話は高度同士の比較の話だと思ったけど。評価の方向も次元数も違うものを比較するのは難しいから、勝負したい人はGoogle code jamとかでやればいいと思う。 programmer
クイズ:XSSとCSRFはどこにありますか? - ockeghem's blog
先の日記(XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記)は、仕込んだネタがあたって多くの方に読んでいただいた。細かい内容については、頂戴した批判や反省もあるが、このテーマに対して多くの関心を集めることができたのは良かったと思う。今回も、手を変え品を変えて、XSSとCSRFの違いを説明しよう。ということで、今回はクイズ仕立てにしてみた。 といっても、非常に簡単なクイズだ。 認証を必要とする会員制サイトmaitter.comで、個人情報を入力する画面がある。典型的な、入力(A)-確認(B)-登録(C)という画面遷移(下図)を想定した場合、 XSSが発生しやすい画面を一つあげよ CSRFが発生しやすい画面を一つあげよ というものだ(入力画面は初期入力のみ想定)。エラー時の挙動などは指定されていないので想定しないものとする。 解
っつか - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
日本語にすりゃいいんだよな。 やってみるか・・・ XSS → クロスサイトスクリプティング → 「サイト横断型スクリプト挿入攻撃」 わかりづらい? CSRF → クロスサイトリクエストフォージェリ → 「サイト横断型リクエスト偽造攻撃」 どうだ? んー。よくわからんかなあ。もっといい日本語化案があれば。 あとよく勘違いされるんだけど,XSS で Cookie 抜かれてセッションハイジャックってのばっかり言われてるけど,偽画面作れるってのがそもそもの脅威だからね。スクリプティング,っていうより,画面の限定期間一部改ざんっていうかそんな感じだと思いねぇ。なので,セッション抜かなくてもログイン画面をナニしてフォームのポスト先を変えちゃえばアカウント情報いただきーヒャホーとか,URL 短縮サービスとか経由してナニしてドメイン名とか SSL サーバ証明書とか真っ当なまんまで画面書き換えてヒャッホーと
XSSとCSRFの違い早わかり - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
http://d.hatena.ne.jp/ockeghem/20071203 あー・・・・・ええと。うん。それ違うから。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く その表現は非常にまずい。まず「攻撃スクリプト」が混同されている。 少なくともサーバ上で「攻撃スクリプト」が動作するのはもう CSRF ではない。CSRF の場合,脆弱ではあっても悪意はない本来のスクリプトが記述された通りの「正常な」動作をしているにすぎないからだ。 第二に,CSRF でも悪意のスクリプトがブラウザ上で動作するパターンがある。というより記事内で例示されている CSRF ではブラウザ上で罠サイトに設置された攻撃スクリプトであるところの JavaScript が動作しているものだ。アプリケーションにポストする内容の話
クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記
昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく なりすましのようなことが結果としてできる どちらも受動型攻撃である それに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全然違うものですよ」となるのだろうが、現に混同している人がいるのだから紛らわしい点もあるのだろう。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く このため、XSSでできる悪いことは、すなわちJavaScriptでできることであって、攻撃対象のCookieを盗み出すことが典型例となる。一方、CS
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
