HTML5時代の「新しいセキュリティ・エチケット」（2）：単純ではない、最新「クロスサイトスクリプティング」事情 (1/3) - ＠IT

2013/12/17 349 users ネットエージェント エチケット オリジン ハセ リソース

HTML5時代の「新しいセキュリティ・エチケット」（2）：単純ではない、最新「クロスサイトスクリプティング」事情 (1/3) 皆さんこんにちは。ネットエージェントのはせがわようすけです。第1回目は、Webアプリケーションセキュリティの境界条件であるオリジンという概念について説明しました。 現在のWebブラウザーでは、同一オリジンのリソースは同じ保護範囲にあるものとし、オリジンを超えたアクセスについ... 続きを読む

とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス

2022/03/14 338 users バッドプラクティス XSS サマリ 自動ログイン機能 本稿

サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお... 続きを読む

Railsエンジニアのためのウェブセキュリティ入門

2019/04/26 323 users Railsエンジニア XSS CSRF アジェンダ 徳丸

Railsエンジニアのためのウェブセキュリティ入門 1. Railsエンジニアのためのウェブセキュリティ入門 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 2. アジェンダ • 3分間クッキングデモ • OSコマンドインジェクション • クロスサイトリクエストフォージェリ(CSRF) • クロスサイトスクリプティング(XSS) • SQ... 続きを読む

開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

2022/03/03 311 users XSS セキュリティエンジニア 本稿 攻撃 リスク

はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っている... 続きを読む

XSS脆弱性が調査できるFirefoxアドオン『XSS Me』 | AUTHORITY SITE

2010/08/16 292 users AUTHORITY SITE Firefoxアドオン 欠陥

動的なウェブサイトを作るときには、クロスサイトスクリプティング (Cross Site Scripting、XSS) の脆弱性をなくすことを意識しますが、Twitter や mix でもセキュリティの欠陥はあるので、初心者には難しいと思います。（両方とも、はまちちゃん がアレしたｗ） Firefox アドオンの 『XSS Me』 では簡単な XSS脆弱性発見ができます。 1. XSS Me のイン... 続きを読む

Twitterブログ: 「マウスオーバーの」問題についての全容

2010/09/21 284 users 全容 Twitterブログ マウスオーバー XSS 悪用

概要: 日本時間の9月21日午後6:54に Twitter におけるセキュリティ上の弱点に対する 悪用が30分前より発生していることを確認し、即座に問題の対応にあたりました。日本時間21日午後11時までに問題の主要因を解決し、22日午前1:15にホバーカードに関連した小規模な問題も解決が完了しました。 詳細: 昨日夜に発生したセキュリティ上の弱点を付く悪用は、クロスサイトスクリプティング (XSS... 続きを読む

Googleのセキュリティチーム、XSS脆弱性を突くハッキング学習ゲームを公開。ご褒美はケーキ - Engadget Japanese

2014/06/02 232 users セキュリティチーム XSS XSS脆弱性 うえ ケーキ

Googleのセキュリティチーム、XSS脆弱性を突くハッキング学習ゲームを公開。ご褒美はケーキ By Ittousai posted 2014年06月02日 08時57分 0 Google が XSS (クロスサイトスクリプティング) 脆弱性を学ぶサイト XSS game を公開しました。現実のウェブサイトやアプリでたびたび話題になる Cross-site scripting について、実際のウェ... 続きを読む

【セキュリティ ニュース】「WPTouch」など多数のWordPressプラグインに脆弱性（1ページ目 / 全1ページ）：Security NEXT

2015/04/23 128 users WPtouch セキュリティベンダー 脆弱性 起因 関数

WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。 米Sucuriによると、問題の脆弱性は、4月13日の週に判明したもので、関数「add_query_arg()」「remove_query_arg()」の使用方法に起因。公... 続きを読む

適切なエスケープ処理でクロスサイトスクリプティングに備える ― ＠IT

2006/03/22 107 users セキュリティホール 真人 安西 エスケープ処理 要件定義

第1回 適切なエスケープ処理でクロスサイトスクリプティングに備える 安西　真人 三井物産セキュアディレクション株式会社 テクニカルサービス事業部 技術グループ Webセキュリティチーム エンジニア 2006/3/23 Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階... 続きを読む

JVN#98975951: Chrome 拡張機能 5000兆円コンバーターにおけるクロスサイトスクリプティングの脆弱性

2018/06/15 76 users Chrome 脆弱性 拡張機能 5000兆円コンバーター

Chrome 拡張機能 5000兆円コンバーター には、クロスサイトスクリプティングの脆弱性が存在します。 続きを読む

『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある | 徳丸浩の日記

2015/05/17 74 users 徳丸浩 PHP 最初 日記 SQLインジェクション

2015年5月18日月曜日 『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある 最初に「読む」PHP（クジラ飛行机）を読みました。本書にはセキュリティ用語（クロスサイトスクリプティング、SQLインジェクション等）はほとんど出てきませんが、脆弱性についてよく配慮された記述となっています。しかし、その細部の詰めが甘く、脆弱性が混入してしまいました。その内容を報告したいと思います。 クロス... 続きを読む

WordPress、深刻な脆弱性を修正　XSS攻撃の恐れ - ITmedia エンタープライズ

2014/11/21 64 users XSS攻撃 WordPress 脆弱性 XSS 修正

WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロルサイトリクエストフォージェリ（CSRF）攻撃を仕掛けられたりする恐れがある。 ブログ作成ソフトの更新版となる「WordPress 4.0.1」が11月20日に公開された。クロスサイトスクリプティング（XSS）などの深刻な脆弱性が修正されており、ユーザーに対して自分のWebサイト... 続きを読む

Six Apart-Movable Type 新バージョンとパッチの提供について

2006/09/26 61 users バッチ 新バージョン 提供 Movable Type 脆弱性

Movable Typeユーザーの皆様 Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。 概要： Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。 影響のあるバージョン： 現在、... 続きを読む

すごい設計書 - システムに不可欠なセキュリティ対策、漏れを食い止める設計書3点セット：ITpro

2017/11/27 58 users ITpro セキュリティ対策 ラック 脅威 システム

「セキュリティ対策はシステム開発で不可欠だが、設計書でうまく表現できている開発現場はまだ少ない」――。 ラックの永井英徳氏（エンタープライズ・セキュリティサービス事業部セキュリティディレクションサービス部長 兼 第一グループ部長）はこう指摘する。よく見られるのが、「クロスサイトスクリプティングの脅威には、Aフレームワークを利用することで対処する」などと、個別の脅威ごとに対策を記述するケースという。... 続きを読む

JVN#98975951: Chrome 拡張機能 5000兆円コンバーターにおけるクロスサイトスクリプティングの脆弱性

2018/06/15 49 users Chrome 脆弱性 拡張機能 5000兆円コンバーター

Chrome 拡張機能 5000兆円コンバーター には、クロスサイトスクリプティングの脆弱性が存在します。 続きを読む

CAPTCHAスクリプトに起因する脆弱性、数百万サイトに影響の恐れ - ITmedia エンタープライズ

2014/11/21 48 users ITmedia エンタープライズ XSS 脆弱性 影響 作者

jQueryプラグインのCAPTCHAスクリプトにクロスサイトスクリプティング（XSS）の脆弱性が見つかったとして、セキュリティ研究者が情報を公開した。 Webサイトの検証機能実装に使われている「jQuery Validation Plugin」のCAPTCHAスクリプトに深刻な脆弱性が見つかったとして、セキュリティ研究者が自身のブログで11月18日に情報を公開した。同プラグインの作者はこの脆弱性... 続きを読む

「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在 - ITmedia エンタープライズ

2015/04/27 47 users ITmedia エンタープライズ 脆弱性 全バージョン 存在

セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング（XSS）の脆弱性が存在する。 WordPressは4月27日、コンテンツ管理システム（CMS）最新版の「WordPress 4.2.1」を公開し、深刻な脆弱性に対処したことを明らかにした。脆弱性はこれまでの全バージョンに存在するといい、ユーザーに対して自分のWebサ... 続きを読む

エラーメッセージによるXSSにご用心 | 徳丸浩の日記

2015/05/01 45 users XSS php.ini 徳丸浩 XSS脆弱性 スクリプト

2015年5月2日土曜日 エラーメッセージによるXSSにご用心 以前の記事「PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む」では、php.ini等でdisplay_errorsを有効にしていると、スクリプトに脆弱性がなくてもXSS（クロスサイトスクリプティング）脆弱性が入り込む可能性が高いことを指摘しました。 しかし、display_errorを無効にしていても、... 続きを読む

co3k.org - Blog - 不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性

2012/02/28 44 users ゼロデイ脆弱性 co3k.org Blog Exploit

2012/02/15、 JVN から `JVN#35256978: cforms II におけるクロスサイトスクリプティングの脆弱性 `_ が公開されました。これはクレジットされているとおり、海老原と、同僚の渡辺優也君が勤務中に発見した脆弱性です。 脆弱性自体はどこにでもあるような普通の XSS ですが、実はこの脆弱性、 2010 年 10 月に exploit コードが公開され、それから 1 年... 続きを読む

【新機能】API Gateway のステージに AWS WAF を直接関連づけられるようになりました ｜ DevelopersIO

2018/11/07 39 users DevelopersIO XSS gateway ステージ

2018年11月5日です。�さらりと便利なリリースが飛び込んできましたね。 Amazon API Gateway Adds Support for AWS WAF AWS WAF を Amazon API Gateway に使用して、SQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃から保護することができます。さらに、ルールを使用して、IPアドレス、地域、要求サ... 続きを読む

Chrome拡張「5000兆円コンバーター」にXSS脆弱性　最新版にアップデートを - ITmedia NEWS

2018/06/15 38 users XSS脆弱性 Chrome拡張 ITmedia News

「5000兆円欲しい！」と書かれたテキストを、太字の画像に変換するChrome拡張「5000兆円コンバーター」にXSS脆弱性が見つかったとJVNが注意喚起している。 「5000兆円欲しい！」と書かれたテキストを、太字の画像に変換するChrome拡張「5000兆円コンバーター」の「v1.0.6」に、クロスサイトスクリプティング（XSS）の脆弱性が見つかったと、脆弱性対策情報提供サイト「JVN」（Ja... 続きを読む

Twitterクライアント「Janetter」に脆弱性、最新バージョンで修正済み - ITmedia NEWS

2017/05/02 37 users Janetter Twitterクライアント XSS 脆弱性

PC向けTwitterクライアントソフト「Janetter」にXSS脆弱性があることが発覚した。最新版が5月2日にリリースされ、問題は修正された。 ジェーンが提供しているWindows／Mac向けTwitterクライアントソフト「Janetter」に、任意のコードがクライアント上で実行されてしまうXSS（クロスサイトスクリプティング）脆弱性があることが5月1日から話題になっている。問題を受けて同社... 続きを読む

TweetDeck、ハックされたが脆弱性はすでに修正―ユーザーは一度ログアウトすること | TechCrunch Japan

2014/06/11 32 users XSS Twitter TweetDeck ハッカー 脆弱性

アップデート：Tweetdeck は今朝（米国時間6/11）、ハッカーの攻撃に対処してセキュリティー上の修正を行うため一時サービスを停止したが、現在は復帰している。 当初の記事： パワーユーザーに人気があるTwitterの公式クライアント、TweetDeckが今朝ハッカーに攻撃を受けたXSS（クロスサイトスクリプティング）脆弱性を修正したと発表した。Tweetdeckはこのパッチを有効にするために... 続きを読む

Yahoo！知恵袋にXSS脆弱性　ユーザーの指摘受けヤフーが修正 - ITmedia ニュース

2013/07/22 32 users XSS脆弱性 Yahoo 知恵袋 修正 ユーザー

「Yahoo！知恵袋」にクロスサイトスクリプティング（XSS）の脆弱性があるというユーザーからの指摘を受け、ヤフーは7月22日までに脆弱性を修正した。 脆弱性があったのは、「あなたが最近見たQ＆A」機能。複数のユーザーが知恵袋の投稿などを通じて指摘しており、脆弱性について解説するブログも話題になっていた。 ヤフーは、ブログの指摘を見た社員からの報告を受け、22日朝に脆弱性を認知し、22日昼までに対... 続きを読む

TweetDeckにXSSの脆弱性、ワーム増殖の状態に - ITmedia ニュース

2014/06/11 30 users TweetDeck XSS Twitter ワーム 脆弱性

TwitterのTweetDeckサービスが一時的にダウンした。「悪意のあるツイートを作成して自己増殖する『ワーム』攻撃」の発生が伝えられている。 米TwitterのTweetDeckで米国時間の6月11日にセキュリティ問題が発生し、サービスが一時的にダウンした。セキュリティ企業などは、クロスサイトスクリプティング（XSS）の脆弱性を突くワームが増殖している状態だと伝えている。 TweetDeck... 続きを読む