三井住友銀行
ニュースリリース 2026年5月1日 【三井住友フィナンシャルグループ】役員異動のお知らせ ニュースリリース 2026年5月1日 役員異動のお知らせ お知らせ2026年4月30日 2026年5月31日(日)以降、「SMBCエルダープログラム」の提携企業サービスが一部終了します ニュースリリース 2026年4月30日 Sakana AI株式会社との実装フェーズ第一号案件となる「提案書自動生成アプリケーション」の導入開始について ニュースリリース 2026年4月27日 フィリピン投資委員会Board of Investments、フィリピン商業銀行Rizal Commercial Banking Corporationとの業務提携覚書の締結について ニュースリリース 2026年4月27日 国内LBO債権を投資対象とするプライベート・デット・ファンドの運営を目的としたニューバーガー・バーマン株式
まだまだあるクロスサイト・スクリプティング攻撃法
前回はクロスサイト・スクリプティングのぜい弱性を突く攻撃の対策としてのHTMLエンコードの有効性を述べた。ただ,HTMLエンコードだけではクロスサイト・スクリプティング攻撃を完全に防御することはできない。そこで今回は,HTMLエンコードで対処できないタイプのクロスサイト・スクリプティング攻撃の手口と,その対策について解説する。 HTMLエンコードで対処できない攻撃には,次のようなものがある。 タグ文字の入力を許容している場合(Webメール,ブログなど) CSS(カスケーディング・スタイルシート)の入力を許容している場合(ブログなど) 文字コードを明示していないケースでUTF-7文字コードによるクロスサイト・スクリプティング <SCRIPT>の内容を動的に生成している場合 AタグなどのURLを動的に生成している場合注) 以下では,HTMLタグやCSSの入力を許容している場合と,文字コードを明
クロスサイトリクエストフォージェリ - Wikipedia
クロスサイトリクエストフォージェリ (英語:cross-site request forgery、略称:CSRF) は、Webアプリケーションに対し、信頼するユーザーから許可されていないコマンドが送信できてしまう脆弱性[1]、もしくはそれを利用した攻撃である。略称はCSRF(シーサーフ (sea-surf) と読まれる事もある[2][3])、またはXSRF。リクエスト強要[4]、セッションライディング (session riding[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた[要出典]。脆弱性情報データベースのCWEでは、CSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)[5]。 なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
超絶技巧CSRF / Shibuya.XSS techtalk #7
