ブラウザのXSSフィルタを利用した情報窃取攻撃 | 技術者ブログ | 三井物産セキュアディレクション株式会社(English version is available here) 今回はブラウザのXSSフィルタへの攻撃を取り上げます。 XSSフィルタはブラウザに内蔵されたセキュリティ機能です。WebアプリケーションにXSS脆弱性がある場合に、それが実際に攻略されるリスクを減らしてくれます。 一般にXSSフィルタは「ベストエフォート型の補助的対策(best-effort second line of defense)」と位置付けられています。つまりXSSフィルタは「根本的な対策」ではなく、100%の攻撃をブロックすることはそもそも期待されていません。「根本的対策」は従来から言われているWebアプリケーションにおけるXSS対策です。 ここで簡単にXSSフィルタの歴史を振り返ってみましょう。最初のブラウザのXSSフィルタは、Microsoftが2008年にIE8に実装したものです。その後すぐにWebK
