コンテンツ セキュリティ ポリシー (CSP) - Microsoft Edge Developer documentation
大規模なクロスサイト スクリプティングの問題を軽減するために、Microsoft Edge 拡張機能システムには コンテンツ セキュリティ ポリシー (CSP) が組み込まれています。 これにより、拡張機能のセキュリティを既定で強化するいくつかの厳格なポリシーが導入され、拡張機能とアプリケーションによって読み込まれて実行できるコンテンツの種類を管理するルールを作成して適用する機能が提供されます。 一般に、CSP は、拡張機能によって読み込まれた、または実行されるリソースのブロック/許可リストメカニズムとして機能します。 拡張機能に対して適切なポリシーを定義すると、拡張機能で必要なリソースを慎重に検討し、拡張機能がアクセスできる唯一のリソースであることをブラウザーに確認することができます。 ポリシーは、拡張機能が要求するホストアクセス許可以上のセキュリティを提供します。これらは、代替ではなく
XSS脆弱性により起こる被害とその対策
前編では、Webアプリケーションに潜むセキュリティホール、「クロスサイトスクリプティング(XSS)」とはどのような脆弱性であるのかについて述べた。中・後編では起こり得る被害についてと、どのように対策をすればよいのかを解説していく。 XSSセキュリティホールによる起こり得る被害 XSSのセキュリティホールがあると、攻撃者はそこを狙った攻撃をするだろう。しかし攻撃といっても、セキュリティホールがあるWebサイトに対する攻撃ではなく、そのWebサイトの利用者に対する攻撃となる。 またユーザーに対する攻撃というといままでにも、悪意のあるスクリプトが仕掛けられた(攻撃者の)Webサイトにアクセスしたユーザーが被害を受けるというものもあった。XSSを利用した攻撃も、攻撃者のWebサイトにユーザーがアクセスして被害が起こるという点は変わらないが、仕込まれているスクリプトがどこから送られてくるのかが違うた
駆け出しエンジニアの皆さんに知ってほしい脆弱性のこと。
セキュリティは難しいです。 ですが、プログラミング初学者の皆さんは必要以上に萎縮せず、どんどんアプリケーションを作り、公開することにチャレンジして欲しいと私は思っています。 一方、事実として、脆弱なアプリケーションが公開されている(サーバ上でアクセス可能な状態になっている)だけで、全く無関係な第三者が被害を被る可能性があることは知っておく必要があります。 それはWordPressを使った単なるWebサイトであったとしても同じです。 また、あなたのアプリケーションが破壊されて困らないものであったり、 個人情報を保持していないものであったとしても、です。 だから、知らなかった、では済まされないこともあります。 この記事では、PHPのソースを例に、 特にプログラミング初学者が生み出しやすいアプリケーションの脆弱性について、 具体的なコードを挙げながら解説します。 なお、本記事のサンプルコードはも
第21回 文字エンコーディングとセキュリティ(3) | gihyo.jp
前回に引き続き、今回も文字エンコーディングとセキュリティをテーマに解説します。前回は壊れた文字エンコーディングを利用した攻撃、文字エンコーディングを誤認識させる攻撃を紹介しました。今回はSJIS特定の問題を簡単に紹介します。 文字エンコーディングのエスケープ方式を利用する方法 ほとんどの文字エンコーディングは、マルチバイト文字の中に“\”などの特殊文字を含みません。しかし、例外があります。Shift_JISでは“\”がマルチバイト文字に含まれるので、これが原因で脆弱性が発生する場合あります。 SJISの“表” <?php echo rawurlencode(mb_convert_encoding('表', 'SJIS', 'UTF-8')); ?> 出力 %95%5C “%5C”は“\”です。“\”は文字列のエスケープなどに利用される特殊文字です。addslashes関
XSS フィルター回避チートシート - OWASP
この資料は、アプリケーションのセキュリティテストを行う技術者に、クロスサイトスクリプティングのテストを支援するガイドを提供することに重点を置いています。この資料の初期版は、RSnake から OWASP に寄付されたもので、彼のセミナーの XSS チートシートが元になっています(http://ha.ckers.org/xss.html)。現在このサイトにアクセスすると、この新しいサイトにリダイレクトされるようになっており、今後はここで保守や強化が行われる予定です。最初に作成された OWASP 対策チートシート、XSS (クロスサイトスクリプティング) 対策チートシートは、RSnake の XSS チートシートをベースにしています。彼に謝意を表します。私たちは、攻撃に関する複雑なチートシートにあらゆる巧妙なトリックを列挙して、とにかくこれらを防ぐアプリケーションを構築せよと開発者に言うのでは
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Bootstrap 4.6.2 Carousel XSS vulnerability: data-slide/data-slide-to - StackBlitz
ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート[2015年第3四半期(7月~9月)]
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法