HTML5時代の「新しいセキュリティ・エチケット」（3）：知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法 (1/2) - ＠IT

2014/03/17 210 users XMLHttpRequest ネットエージェント XSS

HTML5時代の「新しいセキュリティ・エチケット」（3）：知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法 (1/2) 皆さんこんにちは。ネットエージェントのはせがわようすけです。前回は、同一オリジンポリシーを突破する攻撃の代表的事例であるXSSについて、特にDOM based XSSと呼ばれるものについて解説しました。今回はその続きとして、XMLHttpRequestに... 続きを読む

Masato Kinugawa Security Blog: U+2028/2029とDOM based XSS

2013/09/17 124 users alert script アラート 改行 スクリプト

2013/09/17 U+2028/2029とDOM based XSS ECMAScriptの仕様では、0x0A/0x0D以外にU+2028/2029の文字も改行とすることが明記されています。 これはあまり知られていないように思います。 以下はアラートを出します。 <script> //[U+2028]alert(1) </script> 知られていないだけでなく、知っていたとしても、スクリプト... 続きを読む

情報処理推進機構：IPA テクニカルウォッチ：『DOM Based XSS』に関するレポート

2013/01/29 109 users IPA テクニカルウォッチ レポート 情報処理推進機構 一正

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、IPAに届け出られる「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポート（IPAテクニカルウォッチ 第13回）を公開しました。 IPAに多くの届出があるクロスサイト・スクリプティング（XSS）の脆弱性ですが、2012年... 続きを読む