とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス

2022/03/14 338 users バッドプラクティス XSS サマリ 自動ログイン機能 本稿

サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお... 続きを読む

開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

2022/03/03 311 users XSS セキュリティエンジニア 本稿 攻撃 リスク

はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っている... 続きを読む

Railsエンジニアのためのウェブセキュリティ入門

2019/04/26 323 users Railsエンジニア XSS CSRF アジェンダ 徳丸

Railsエンジニアのためのウェブセキュリティ入門 1. Railsエンジニアのためのウェブセキュリティ入門 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 2. アジェンダ • 3分間クッキングデモ • OSコマンドインジェクション • クロスサイトリクエストフォージェリ(CSRF) • クロスサイトスクリプティング(XSS) • SQ... 続きを読む

JVN#98975951: Chrome 拡張機能 5000兆円コンバーターにおけるクロスサイトスクリプティングの脆弱性

2018/06/15 76 users Chrome 脆弱性 拡張機能 5000兆円コンバーター

Chrome 拡張機能 5000兆円コンバーター には、クロスサイトスクリプティングの脆弱性が存在します。 続きを読む

すごい設計書 - システムに不可欠なセキュリティ対策、漏れを食い止める設計書3点セット：ITpro

2017/11/27 58 users ITpro セキュリティ対策 ラック 脅威 システム

「セキュリティ対策はシステム開発で不可欠だが、設計書でうまく表現できている開発現場はまだ少ない」――。 ラックの永井英徳氏（エンタープライズ・セキュリティサービス事業部セキュリティディレクションサービス部長 兼 第一グループ部長）はこう指摘する。よく見られるのが、「クロスサイトスクリプティングの脅威には、Aフレームワークを利用することで対処する」などと、個別の脅威ごとに対策を記述するケースという。... 続きを読む

『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある | 徳丸浩の日記

2015/05/17 74 users 徳丸浩 PHP 最初 日記 SQLインジェクション

2015年5月18日月曜日 『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある 最初に「読む」PHP（クジラ飛行机）を読みました。本書にはセキュリティ用語（クロスサイトスクリプティング、SQLインジェクション等）はほとんど出てきませんが、脆弱性についてよく配慮された記述となっています。しかし、その細部の詰めが甘く、脆弱性が混入してしまいました。その内容を報告したいと思います。 クロス... 続きを読む

【セキュリティ ニュース】「WPTouch」など多数のWordPressプラグインに脆弱性（1ページ目 / 全1ページ）：Security NEXT

2015/04/23 128 users WPtouch セキュリティベンダー 脆弱性 起因 関数

WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。 米Sucuriによると、問題の脆弱性は、4月13日の週に判明したもので、関数「add_query_arg()」「remove_query_arg()」の使用方法に起因。公... 続きを読む

WordPress、深刻な脆弱性を修正　XSS攻撃の恐れ - ITmedia エンタープライズ

2014/11/21 64 users XSS攻撃 WordPress 脆弱性 XSS 修正

WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロルサイトリクエストフォージェリ（CSRF）攻撃を仕掛けられたりする恐れがある。 ブログ作成ソフトの更新版となる「WordPress 4.0.1」が11月20日に公開された。クロスサイトスクリプティング（XSS）などの深刻な脆弱性が修正されており、ユーザーに対して自分のWebサイト... 続きを読む

Googleのセキュリティチーム、XSS脆弱性を突くハッキング学習ゲームを公開。ご褒美はケーキ - Engadget Japanese

2014/06/02 232 users セキュリティチーム XSS XSS脆弱性 うえ ケーキ

Googleのセキュリティチーム、XSS脆弱性を突くハッキング学習ゲームを公開。ご褒美はケーキ By Ittousai posted 2014年06月02日 08時57分 0 Google が XSS (クロスサイトスクリプティング) 脆弱性を学ぶサイト XSS game を公開しました。現実のウェブサイトやアプリでたびたび話題になる Cross-site scripting について、実際のウェ... 続きを読む

HTML5時代の「新しいセキュリティ・エチケット」（2）：単純ではない、最新「クロスサイトスクリプティング」事情 (1/3) - ＠IT

2013/12/17 349 users ネットエージェント エチケット オリジン ハセ リソース

HTML5時代の「新しいセキュリティ・エチケット」（2）：単純ではない、最新「クロスサイトスクリプティング」事情 (1/3) 皆さんこんにちは。ネットエージェントのはせがわようすけです。第1回目は、Webアプリケーションセキュリティの境界条件であるオリジンという概念について説明しました。 現在のWebブラウザーでは、同一オリジンのリソースは同じ保護範囲にあるものとし、オリジンを超えたアクセスについ... 続きを読む

Twitterブログ: 「マウスオーバーの」問題についての全容

2010/09/21 284 users 全容 Twitterブログ マウスオーバー XSS 悪用

概要: 日本時間の9月21日午後6:54に Twitter におけるセキュリティ上の弱点に対する 悪用が30分前より発生していることを確認し、即座に問題の対応にあたりました。日本時間21日午後11時までに問題の主要因を解決し、22日午前1:15にホバーカードに関連した小規模な問題も解決が完了しました。 詳細: 昨日夜に発生したセキュリティ上の弱点を付く悪用は、クロスサイトスクリプティング (XSS... 続きを読む

XSS脆弱性が調査できるFirefoxアドオン『XSS Me』 | AUTHORITY SITE

2010/08/16 292 users AUTHORITY SITE Firefoxアドオン 欠陥

動的なウェブサイトを作るときには、クロスサイトスクリプティング (Cross Site Scripting、XSS) の脆弱性をなくすことを意識しますが、Twitter や mix でもセキュリティの欠陥はあるので、初心者には難しいと思います。（両方とも、はまちちゃん がアレしたｗ） Firefox アドオンの 『XSS Me』 では簡単な XSS脆弱性発見ができます。 1. XSS Me のイン... 続きを読む

Six Apart-Movable Type 新バージョンとパッチの提供について

2006/09/26 61 users バッチ 新バージョン 提供 Movable Type 脆弱性

Movable Typeユーザーの皆様 Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。 概要： Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。 影響のあるバージョン： 現在、... 続きを読む

適切なエスケープ処理でクロスサイトスクリプティングに備える ― ＠IT

2006/03/22 107 users セキュリティホール 真人 安西 エスケープ処理 要件定義

第1回 適切なエスケープ処理でクロスサイトスクリプティングに備える 安西　真人 三井物産セキュアディレクション株式会社 テクニカルサービス事業部 技術グループ Webセキュリティチーム エンジニア 2006/3/23 Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階... 続きを読む