タグ DOM Based XSS
人気順 5 users 10 users 50 users 500 users 1000 usersHTML5時代の「新しいセキュリティ・エチケット」(3):知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法 (1/2) - @IT
HTML5時代の「新しいセキュリティ・エチケット」(3):知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法 (1/2) 皆さんこんにちは。ネットエージェントのはせがわようすけです。前回は、同一オリジンポリシーを突破する攻撃の代表的事例であるXSSについて、特にDOM based XSSと呼ばれるものについて解説しました。今回はその続きとして、XMLHttpRequestに... 続きを読む
Masato Kinugawa Security Blog: U+2028/2029とDOM based XSS
2013/09/17 U+2028/2029とDOM based XSS ECMAScriptの仕様では、0x0A/0x0D以外にU+2028/2029の文字も改行とすることが明記されています。 これはあまり知られていないように思います。 以下はアラートを出します。 <script> //[U+2028]alert(1) </script> 知られていないだけでなく、知っていたとしても、スクリプト... 続きを読む
情報処理推進機構:IPA テクニカルウォッチ:『DOM Based XSS』に関するレポート
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られる「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第13回)を公開しました。 IPAに多くの届出があるクロスサイト・スクリプティング(XSS)の脆弱性ですが、2012年... 続きを読む