よくわかるPHPの教科書 PHP5.5対応版のクロスサイト・スクリプティング | 徳丸浩の日記

2014/03/10 296 users SQL 徳丸浩 PHP 教科書 非推奨

2014年3月10日月曜日 よくわかるPHPの教科書 PHP5.5対応版のクロスサイト・スクリプティング たにぐちまことさんの よくわかるPHPの教科書がこのたび改版されて、よくわかるPHPの教科書 【PHP5.5対応版】として出版されました。旧版はmysql関数を使ってSQL呼び出ししていましたが、mysql関数がPHP5.5にて非推奨となったための緊急対処的な内容となっているようです。つまり、... 続きを読む

情報処理推進機構：IPA テクニカルウォッチ：『DOM Based XSS』に関するレポート

2013/01/29 109 users DOM Based XSS IPA テクニカルウォッチ

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、IPAに届け出られる「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポート（IPAテクニカルウォッチ 第13回）を公開しました。 IPAに多くの届出があるクロスサイト・スクリプティング（XSS）の脆弱性ですが、2012年... 続きを読む

携帯電話事業者に学ぶ「XSS対策」 - ockeghem(徳丸浩)の日記

2010/07/26 277 users ockeghem 徳丸浩 XSS対策 ＮＴ 挙動

NTTドコモとソフトバンクモバイルは、フィーチャーフォン（いわゆるガラケー）にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている（しようとしている）挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。NT... 続きを読む

まだまだあるクロスサイト・スクリプティング攻撃法：ITpro

2007/04/16 306 users ITpro ぜい弱性 手口 攻撃 前回

前回はクロスサイト・スクリプティングのぜい弱性を突く攻撃の対策としてのHTMLエンコードの有効性を述べた。ただ，HTMLエンコードだけではクロスサイト・スクリプティング攻撃を完全に防御することはできない。そこで今回は，HTMLエンコードで対処できないタイプのクロスサイト・スクリプティング攻撃の手口と，その対策について解説する。 HTMLエンコードで対処できない攻撃には，次のようなものがある。 タグ... 続きを読む

はびこる「インジェクション系」のぜい弱性：ITpro

2007/04/02 166 users ITpro ぜい弱性 SQLインジェクション 筆者 実態

Webアプリケーションのぜい弱性を示す用語として，クロスサイト・スクリプティング，SQLインジェクションといった言葉の認知度はかなり高まった。ブログ・サイトなどでも活発に議論されている。しかし，Webサイトの実態はどうだろうか。 筆者の所属する京セラコミュニケーションシステムでは昨年（2006年），ぜい弱性診断を実施したWebサイトの統計情報「2007年版 Webアプリケーションぜい弱性傾向」を発... 続きを読む