前回はWeb開発に不慣れな開発者が行いがちな、 不適切なクロスサイトスクリプティング対策を紹介しました。今回は適切な対策を理解するために必要な、 クロスサイトスクリプティングの本質とクロスサイトスクリプティングの種類について解説します。

Googleが、フィッシング詐欺行為や口座乗っ取りなどの攻撃を可能にするセキュリティ脆弱性を修正したことを、セキュリティ研究者らが米国時間21日に明らかにした。 この問題を発見したウェブセキュリティベンダーのWatchfireによると、この欠陥はクロス ...

社名にHTMLスクリプトタグを採用したソフトウェア開発企業が、企業登記所から「データベースの脆弱(ぜいじゃく)性につながる」として社名変更を強制されたという事例が、ソーシャルニュースサイトのHacker Newsで話題となっています。 Company forced to change ...

HackerOneが解説したXSSの主要な攻撃手法は次のとおり。 反射型クロスサイトスクリプティング(Reflected XSS) URLに悪意のあるスクリプトを追記して被害者にアクセスさせることで、目的のWebページを表示すると同時に悪意のあるスクリプトを実行させる攻撃手法。

今回はWebアプリケーションを作ったことがない方でも分かるようクロスサイトスクリプティング脆弱性を解説します。 クロスサイトスクリプティングとは？ 初めてクロスサイトスクリプティングと聞いて、 どのような問題なのかすぐに理解できる人はい ...

Webサイトの入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることをクロスサイトスクリプティングと呼ぶ。 2021年7月に ...

Cross-site scripting (XSS) remains one of the most common security threats to web applications. Despite advanced protection mechanisms, attackers continue to find new ways to exploit XSS ...

JPCERTコーディネーションセンター（JPCERT/CC: Japan Computer Emergency Response Team Coordination Center）は2022年6月24日、「JVNVU#92304549: Apache Tomcatのexamplesにおけるクロスサイトスクリプティングの脆弱性」において、オープンソースのWebコンテナ「Apache ...

前編では、クロスサイトスクリプティング（XSS）攻撃の基礎知識として、XSS攻撃が成立する仕組みについて説明した。今回はXSS攻撃を防ぐための手法を紹介する。 XSS攻撃の防止方法 自社のサイトがXSS攻撃の被害に遭う確率を下げるためには、何らかの形の ...