HackerOneが解説したXSSの主要な攻撃手法は次のとおり。 反射型クロスサイトスクリプティング(Reflected XSS) URLに悪意のあるスクリプトを追記して被害者にアクセスさせることで、目的のWebページを表示すると同時に悪意のあるスクリプトを実行させる攻撃手法。
先日リリースされた「Firefox 148」には、主要Webブラウザーで初めて「Sanitizer API」が実装されているとのこと。「クロスサイトスクリプティング」と呼ばれるタイプの脆弱性を抑制する技術として期待されており、他のWebブラウザーも追随する見込みだ。
「クロスサイトスクリプティング対策の基本」に関する情報が集まったページです。 ITmediaはアイティメディア株式会社の ...
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および有限責任中間法人 JPCERT コーディネーション ...
今回は、 US-ASCIIによるクロスサイトスクリプティング(XSS)という話題について紹介します。 前回までで説明したUTF-7によるXSSと同様に、 攻撃者はUS-ASCIIという文字コードを巧みに利用することで、 IEを対象にXSSを発生させることができます。US-ASCIIによるXSSは ...
「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方に、「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第46回は、「クロスサイトスクリプティング(XSS)攻撃 ...
Webアプリケーションの一般的な脅威は、セキュリティの専門家がよく知っているものでもある。なぜそれらの脅威はなくならないのだろうか。原因は、概してIT部門が脅威を防ぐために十分な対策をしていないことにある。本稿が紹介する以下5つのWeb ...
マイクロソフトでは、従来のポータルから新しく展開されたシングルページ アプリまで、サービス全体でXSSレポートを継続的に受け取っており、ブラウザのセキュリティ、コンテンツセキュリティポリシー(CSP)、デフォルトのセキュアライブラリは進歩し ...
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および有限責任中間法人JPCERTコーディネーションセンター ...
一部の結果でアクセス不可の可能性があるため、非表示になっています。
アクセス不可の結果を表示する