タグ「クロスサイトスクリプティング」

タグクロスサイトスクリプティング

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 49件)

WordPressに複数の脆弱性　クロスサイトスクリプティングで閲覧者・投稿者が影響受ける恐れ

2022/11/08 16 users JPCERT CMS ベーススコア CVSS v3 悪影響

JPCERT/CCが、WordPressに複数の脆弱性が見つかったとして最新版へのアップデートを呼び掛けた。悪用されるとWebサイトの閲覧者に悪影響が出る可能性がある。 JPCERT/CCは11月8日、CMSの「WordPress」に複数の脆弱性が見つかったとして最新版へのアップデートを呼び掛けた。影響度を示すCVSS v3のベーススコアは最大6.1... 続きを読む

とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス

2022/03/14 338 users バッドプラクティス XSS サマリ自動ログイン機能本稿

サマリとある通販サイトにて「メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。記事の最後にはセミナーのお... 続きを読む

開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

2022/03/03 311 users XSS セキュリティエンジニア本稿攻撃リスク

はじめにこんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っている... 続きを読む

SaaSに新手のXSS攻撃、11社のECサイトから43万件の顧客情報漏洩

2022/01/13 13 users SaaS 新手 XSS攻撃 XSS 顧客情報漏洩

11社もの流通業のEC（電子商取引）サイトから顧客情報が流出した。約80社が利用するSaaSのサーバーがサイバー攻撃を受けたためだ。漏洩した可能性がある利用者情報は延べ43万件以上で、カード情報も含まれる。攻撃手法は「クロスサイトスクリプティング（XSS）」だった。SaaSの提供元は攻撃検知ツールなどを導入していた... 続きを読む

ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2021/07/06 19 users JPCERT XSS インシデント CC Eyes 攻撃

2021年4月28日に、Trend MicroからECサイトのクロスサイトスクリプティング（以下、XSS）脆弱性を悪用した攻撃（Water Pamola）が報告［1］されていますが、JPCERT/CCでも類似した攻撃を複数確認しています。JPCERT/CCで確認したインシデントでは、EC-CUBEを使用して構築されたECサイトにXSS脆弱性があったために、攻撃... 続きを読む

JVN#97370614: マガジンガーＺにおけるクロスサイトスクリプティングの脆弱性

2021/03/25 27 users CGI スクリプトウェブブラウザ上ウェブサイト http

CGI Script Market が提供するマガジンガーＺ <http://cgiscriptmarket.com/magazinegerZ/> は、ウェブサイトにメールマガジン配信機能を提供する CGI スクリプトです。マガジンガーＺには、管理画面にログインした管理者のウェブブラウザ上で、意図しないスクリプトが実行される格納型クロスサイトスクリプティング (... 続きを読む

Railsエンジニアのためのウェブセキュリティ入門

2019/04/26 323 users Railsエンジニア XSS CSRF アジェンダ徳丸

Railsエンジニアのためのウェブセキュリティ入門 1. Railsエンジニアのためのウェブセキュリティ入門 EGセキュアソリューションズ株式会社代表取締役徳丸浩 2. アジェンダ • 3分間クッキングデモ • OSコマンドインジェクション • クロスサイトリクエストフォージェリ(CSRF) • クロスサイトスクリプティング(XSS) • SQ... 続きを読む

IPSJカレンダーCGIにおけるクロスサイトスクリプティングの脆弱性について -情報処理学会

2018/12/26 9 users Sort search 脅威クライアントクッキー

2018/09/28にIPSJカレンダーCGIにクロスサイトスクリプティングの脆弱性（search、sort、year欄のサニタイジング漏れ）が発見されました。本脆弱性は対応済みです。本脆弱性では一般にクライアントに格納されたクッキーなどの情報を取得される脅威がありますが、IPSJサイトではクライアント側に機微な情報を格納し... 続きを読む

XSStrike - 公開前にチェック。CUIでXSSを見つける MOONGIFT

2018/11/29 19 users XSS CUI ユーザデータ MOONGIFT 脆弱性

XSS（クロスサイトスクリプティング）はWebシステム開発者としては特に注意していることでしょう。今なお、大事なファイルが平文で保存されていたとか、脆弱性をついてユーザデータをすべて抜き取られたといった問題はXSSによって起こされています。そんなXSSをチェックできるのがXSStrikeです。XSStrikeを使ってテスト... 続きを読む

JVNVU#98026636: LogonTracer に複数の脆弱性

2018/11/07 15 users イベントログ脆弱性複数分析ツール

一般社団法人JPCERTコーディネーションセンターが提供する LogonTracer には、複数の脆弱性が存在します。一般社団法人JPCERTコーディネーションセンターが提供する LogonTracer は、イベントログの分析をサポートするツールです。 LogonTracer には、次の複数の脆弱性が存在します。クロスサイトスクリプティング (CW... 続きを読む

【新機能】API Gateway のステージに AWS WAF を直接関連づけられるようになりました｜ DevelopersIO

2018/11/07 39 users DevelopersIO XSS gateway ステージ

2018年11月5日です。�さらりと便利なリリースが飛び込んできましたね。 Amazon API Gateway Adds Support for AWS WAF AWS WAF を Amazon API Gateway に使用して、SQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃から保護することができます。さらに、ルールを使用して、IPアドレス、地域、要求サ... 続きを読む

Chrome拡張「5000兆円コンバーター」にXSS脆弱性　最新版にアップデートを - ITmedia NEWS

2018/06/15 38 users XSS脆弱性 Chrome拡張 ITmedia News

「5000兆円欲しい！」と書かれたテキストを、太字の画像に変換するChrome拡張「5000兆円コンバーター」にXSS脆弱性が見つかったとJVNが注意喚起している。「5000兆円欲しい！」と書かれたテキストを、太字の画像に変換するChrome拡張「5000兆円コンバーター」の「v1.0.6」に、クロスサイトスクリプティング（XSS）の脆弱性が見つかったと、脆弱性対策情報提供サイト「JVN」（Ja... 続きを読む

JVN#98975951: Chrome 拡張機能 5000兆円コンバーターにおけるクロスサイトスクリプティングの脆弱性

2018/06/15 76 users Chrome 脆弱性拡張機能 5000兆円コンバーター

Chrome 拡張機能 5000兆円コンバーターには、クロスサイトスクリプティングの脆弱性が存在します。続きを読む

JVN#98975951: Chrome 拡張機能 5000兆円コンバーターにおけるクロスサイトスクリプティングの脆弱性

2018/06/15 49 users Chrome 脆弱性拡張機能 5000兆円コンバーター

Chrome 拡張機能 5000兆円コンバーターには、クロスサイトスクリプティングの脆弱性が存在します。続きを読む

すごい設計書 - システムに不可欠なセキュリティ対策、漏れを食い止める設計書3点セット：ITpro

2017/11/27 58 users ITpro セキュリティ対策ラック脅威システム

「セキュリティ対策はシステム開発で不可欠だが、設計書でうまく表現できている開発現場はまだ少ない」――。ラックの永井英徳氏（エンタープライズ・セキュリティサービス事業部セキュリティディレクションサービス部長兼第一グループ部長）はこう指摘する。よく見られるのが、「クロスサイトスクリプティングの脅威には、Aフレームワークを利用することで対処する」などと、個別の脅威ごとに対策を記述するケースという。... 続きを読む

IoTが引き起こす問題は誰が責任を負うべきか | スラドセキュリティ

2017/08/31 19 users スラド IoT ユーザーインタフェース taraiok曰く

taraiok曰く、周辺機器や産業機器をインターネットに接続するのは簡単だ。しかし、こうしたIoTデバイスが引き起こす問題に誰が責任を負うのか。デンマークの研究者は、「 The Internet of Hackable Things （PDF）」と題された調査書を公開した。この調査書ではIoT機器の抱えるユーザーインタフェースのクロスサイトスクリプティングや一部証明書の脆弱性、パスワード解析ソフ... 続きを読む

Janetterで「んほぉぉ！イッぐぅぅ！！」と表示され続けるXSS大流行 → 脆弱性修正へ - ねとらぼ

2017/05/02 27 users Janetter XSS とらぼイッぐ文言

Twitterクライアント「Janetter」がアップデートされ、「NGワード登録時にXSSの脆弱性があった不具合」が修正されました。このアップデートの背景には、とあるネタツイートの拡散があったと思われます。拡散されたのはツイートには「んほぉぉ！イッぐぅぅ！！」という文言を表示させるJavaScriptが含まれていました。これはクロスサイトスクリプティング（XSS）という手段で、ブラウザ上で任意... 続きを読む

Twitterクライアント「Janetter」に脆弱性、最新バージョンで修正済み - ITmedia NEWS

2017/05/02 37 users Janetter Twitterクライアント XSS 脆弱性

PC向けTwitterクライアントソフト「Janetter」にXSS脆弱性があることが発覚した。最新版が5月2日にリリースされ、問題は修正された。ジェーンが提供しているWindows／Mac向けTwitterクライアントソフト「Janetter」に、任意のコードがクライアント上で実行されてしまうXSS（クロスサイトスクリプティング）脆弱性があることが5月1日から話題になっている。問題を受けて同社... 続きを読む

「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正 -INTERNET Watch

2017/03/07 10 users XSS ブログツール CSRF セキュリティアップデート岩崎

ニュース「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正岩崎宰守 2017年3月7日 11:59 　WordPressは6日、ブログツール「WordPress」のセキュリティアップデートとなるバージョン「4.7.3」を公開した。クロスサイトスクリプティング（XSS）の脆弱性3件や、クロスサイトリクエストフォージェリ（CSRF）の脆弱性1件など、計6件が修正されており、利用... 続きを読む

Windows用Chrome拡張機能「Adobe Acrobat」にXSSの脆弱性 -INTERNET Watch

2017/01/20 7 users XSS INTERNET Watch 脆弱性アップデート

Adobe Systemsは19日、Windows専用のChrome拡張機能「Adobe Acrobat」に存在するクロスサイトスクリプティング（XSS）の脆弱性を修正するアップデートをリリースした。最新バージョン「15.1.0.4」への更新が推奨されている。　Chrome拡張機能「Adobe Acrobat」の利用にあたっては、PCにAdobe Acrobat DC/Acrobat XI（11... 続きを読む

WordPressのXSS脆弱性をVAddyで検出してみる - Qiita

2016/12/15 13 users Qiita VAddy XSS XSS脆弱性 SaaS

VAddyは、継続的なWeb脆弱性検査が簡単に実現できるSaaSです。昨日はVAddyの基本的な使い方を説明しました。 10分でWebアプリの脆弱性検査ができた！VAddyでWordPressをスキャンしてみるたった3ステップで脆弱性診断が手軽にでき、特別な知識が不要だと感じてもらえたら嬉しいです。今日は昨日の記事でスキャンしたWordPressにクロスサイトスクリプティング（XSS）の... 続きを読む

【セキュリティニュース】セキュリティアップデート「WordPress 4.3.1」が公開（1ページ目 / 全1ページ）：Security NEXT

2015/09/15 10 users セキュリティアップデートウェブサイ特権昇格脆弱性

複数の脆弱性を解消した「WordPress」のセキュリティアップデート「同4.3.1」がリリースされた。開発者グループは、アップデートを強く推奨している。今回のアップデートは、クロスサイトスクリプティングの脆弱性「CVE-2015-5714」や、特権の昇格が生じる脆弱性「CVE-2015-5715」など、あわせて26件の修正を行った。自動アップデートやダッシュボードによる更新のほか、ウェブサイ... 続きを読む

『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある | 徳丸浩の日記

2015/05/17 74 users 徳丸浩 PHP 最初日記 SQLインジェクション

2015年5月18日月曜日『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある最初に「読む」PHP（クジラ飛行机）を読みました。本書にはセキュリティ用語（クロスサイトスクリプティング、SQLインジェクション等）はほとんど出てきませんが、脆弱性についてよく配慮された記述となっています。しかし、その細部の詰めが甘く、脆弱性が混入してしまいました。その内容を報告したいと思います。クロス... 続きを読む

エラーメッセージによるXSSにご用心 | 徳丸浩の日記

2015/05/01 45 users XSS php.ini 徳丸浩 XSS脆弱性スクリプト

2015年5月2日土曜日エラーメッセージによるXSSにご用心以前の記事「PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む」では、php.ini等でdisplay_errorsを有効にしていると、スクリプトに脆弱性がなくてもXSS（クロスサイトスクリプティング）脆弱性が入り込む可能性が高いことを指摘しました。しかし、display_errorを無効にしていても、... 続きを読む

「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在 - ITmedia エンタープライズ

2015/04/27 47 users ITmedia エンタープライズ脆弱性全バージョン存在

セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング（XSS）の脆弱性が存在する。 WordPressは4月27日、コンテンツ管理システム（CMS）最新版の「WordPress 4.2.1」を公開し、深刻な脆弱性に対処したことを明らかにした。脆弱性はこれまでの全バージョンに存在するといい、ユーザーに対して自分のWebサ... 続きを読む

(1 - 25 / 49件)

次の25件 »