S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

2024/05/30 165 users セキュリティエンジニア セキュリティリスク 攻撃手法 動作

はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作... 続きを読む

Cookie の HttpOnly 属性について勘違いしていたこと - Qiita

2023/11/28 15 users Qiita HttpOnly cookie 属性 手法

はじめに (本記事は初歩的な内容ですが、少なくとも僕は引っかかったので記事化したものです) Cookie に HttpOnly という属性があります。 この HttpOnly を設定することで JavaScript からの直接の参照・操作を禁止することによって、XSS などの手法によって悪意のある第三者から Cookie の内容を見られるのを防止する... 続きを読む

Cookie vs Local Storage マルウェア耐性等に差はあるか？Google Chromeによる保存時の暗号化を検証する - Flatt Security Blog

2023/03/13 13 users Flatt Security Blog 暗号化 保存時 耐性

はじめに こんにちは。セキュリティエンジニアの@okazu_dmです。 皆さんはブラウザにおいてLocal StorageやCookieに格納されている値が暗号化されているかどうかを考えたことはあるでしょうか。これらWebサービスの認証・認可において使われるデータが、XSSのようなアプリケーションの脆弱性への耐性に差があるかどうか... 続きを読む

フロントエンド開発のためのセキュリティ入門

2023/02/10 352 users セキュリティ入門 フロントエンド開発 devsumi A-4

Developers Summit 2023 10-A-4 「フロントエンド開発のためのセキュリティ入門」の発表資料です。 https://event.shoeisha.jp/devsumi/20230209/session/4176/ 「HTTPS化」「CORS」「XSS」「脆弱なライブラリのチェック」について説明しています。 続きを読む

Xbox Series X|Sが5000円の値上げを発表。2月17日からXSXは59978円、XSSは37978円に | ゲーム・エンタメ最新情報のファミ通.com

2023/01/31 14 users 適用 従来 税込 日本マイクロソフト 値上げ

2023年1月31日、日本マイクロソフトは、Xbox Series X|SおよびXbox Series Sの本体参考価格を改訂することを発表した。Xbox Series Xは、従来までの参考価格54978円［税込］が59978 円［税込］に、Xbox Series Sは、32978円［税込］が37978 円［税込］にと、それぞれ5000円ずつ値上げすることになる。 販売価格の適用は2... 続きを読む

XSSを理解して安全なWebアプリケーションを作る

2022/11/15 5 users フィッシング スクリプト 誘導 HTML 攻撃手法

どうもoreoです。今回はXSSについて記載します。 1 XSS(cross site scripting)とは？ XSSとは動的にHTMLを生成するWebサイトで悪意あるスクリプトが埋め込まれたコンテンツをHTMLとしてそのまま表示した際に、スクリプトが実行される攻撃手法(または脆弱性)です。 XSSの脆弱性があると偽サイトへの誘導、フィッシング、C... 続きを読む

【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か？ - Flatt Security Blog

2022/08/09 131 users auth セキュリティエンジニア アクセストークン 耐性 要旨

はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-me... 続きを読む

Webサービスにおけるマイページの仕様とセキュリティ観点 - Flatt Security Blog

2022/06/27 295 users セキュリティ観点 Flatt Security Blog

はじめに こんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。 本稿では、ログイン機能をもつWebアプリケーションにおける実装上の注意を、マイページ機能から派生する機能のセキュリティ観点から記載していきます。特に、XSS（Cross-Site Scripting）やSQLインジェクションのような典型的な脆弱性... 続きを読む

とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス

2022/03/14 338 users バッドプラクティス クロスサイトスクリプティング サマリ

サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお... 続きを読む

XSSの脅威を考察する - SSTエンジニアブログ

2022/03/08 25 users ＣＴＯ ハセガワ 脅威 SSTエンジニアブログ 毎回

はじめに こんにちは！CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています！*2 blog.flat... 続きを読む

開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

2022/03/03 311 users クロスサイトスクリプティング セキュリティエンジニア 本稿

はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っている... 続きを読む

SaaSに新手のXSS攻撃、11社のECサイトから43万件の顧客情報漏洩

2022/01/13 13 users SaaS 新手 クロスサイトスクリプティング XSS攻撃 ＥＣ

11社もの流通業のEC（電子商取引）サイトから顧客情報が流出した。約80社が利用するSaaSのサーバーがサイバー攻撃を受けたためだ。漏洩した可能性がある利用者情報は延べ43万件以上で、カード情報も含まれる。攻撃手法は「クロスサイトスクリプティング（XSS）」だった。SaaSの提供元は攻撃検知ツールなどを導入していた... 続きを読む

ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2021/07/06 19 users JPCERT クロスサイトスクリプティング インシデント

2021年4月28日に、Trend MicroからECサイトのクロスサイトスクリプティング（以下、XSS）脆弱性を悪用した攻撃（Water Pamola）が報告［1］されていますが、JPCERT/CCでも類似した攻撃を複数確認しています。JPCERT/CCで確認したインシデントでは、EC-CUBEを使用して構築されたECサイトにXSS脆弱性があったために、攻撃... 続きを読む

React と Vue に関する XSS アンチパターン

2020/10/18 158 users React Vue ハンズオン Vue.js 無料

React と Vue.js におけるエスケープ機構と XSS について、簡単なハンズオンを交えて説明していきます。無料で読めますが、お気に召したらご購入いただけると嬉しいです。 続きを読む

次世代ゲーム機を買う前に知っておきたい映像規格の話｜みふ｜note

2020/09/14 23 users みふ｜note 次世代ゲーム機 マイクロソフト ひと 結論

次世代機っていうとなんかSS、PS、64のあたりのイメージつよいよね。 最初に結論だけ簡潔に書いておくが、これから次世代ゲーム機と一緒にテレビなんかも新調しようとしているひとは注意しないと残念なことになるかもしれないぞという話だ。 先日、ついにマイクロソフトの次世代ゲーム機Xbox Series S(XSS)とXbox Series... 続きを読む

XSSがあってもlocalStorageに保存するのに比べてcookieのhttpOnlyはjsから読めないので強いと言うことですが、SPAのサイトであれば、XSSを使ってAPIを呼び出し放題なので、セッションのcookieがjsで読

2020/07/19 22 users localStorage HttpOnly cookie

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。 https://t.co/F0kveu1nJM 続きを読む

話題のGoogle製OSS - Tsunamiを試してみた - Qiita

2020/06/27 18 users Ｔｓｕｎａｍｉ セキュリティーホール Qiita tl;dr

はじめに 先日発表された話題のGoogle製OSS - Tsunamiを触ってみたので，実行方法と概要を残したいと思います． TL;DR サクッとコマンド叩くと脆弱性をjson形式で返してくれるので便利 ただ，XSSやSQLインジェクションといった内部のセキュリティーホールは見てくれない（これから対応するかもしれないが） どちらかと言... 続きを読む

Google Chrome 83安定版リリース、Microsoftの協力でフォームの見た目&操作性が大幅アップデート - GIGAZINE

2020/05/20 12 users GIGAZINE Microsoft API バーコード 協力

ウェブブラウザ「Google Chrome」の最新安定版であるバージョン83.0.4103.61がリリースされました。クロスサイトスクリプティング攻撃(XSS)を防止するのに役立つ仕組みが導入されたり、フォームの見た目や操作性が改善されたほか、バーコードを認識するためのAPIが導入されるなどのアップデートが行われています。 New i... 続きを読む

Google Developers Japan: Chrome 83 ベータ版: XSS からの保護、フォーム コントロールの改善、安全な CORS など

2020/04/28 8 users Cors ベータ版 コントロール フォーム 改善

.app 1 .dev 1 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #hack4jp 3 A/B Testing 1 A4A 4 Accelerator 1 Actions on Google 16 Activation Atlas 1 Addy Osmani 1 ADK 2 AdMob 31 Ads 52 Ads API 45 Advanced Protection Program 2 AdWords API 11 Agency 1 AI 11 AIY 3 AIY Vision Kit 2 ALPN 1 AMP 97 AM... 続きを読む

ウェブサイトの脆弱性届出、大半がXSSで200件超 - INTERNET Watch

2019/10/24 24 users INTERNET Watch 大半 ウェブサイト ２００件超

続きを読む

ウェブサイトの脆弱性届出が急増、大半がXSSで400件超～2019年第2四半期IPA報告 - INTERNET Watch

2019/07/30 11 users INTERNET Watch 急増 大半 ウェブサイト

続きを読む

Railsエンジニアのためのウェブセキュリティ入門

2019/04/26 323 users Railsエンジニア クロスサイトスクリプティング 徳丸

Railsエンジニアのためのウェブセキュリティ入門 1. Railsエンジニアのためのウェブセキュリティ入門 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 2. アジェンダ • 3分間クッキングデモ • OSコマンドインジェクション • クロスサイトリクエストフォージェリ(CSRF) • クロスサイトスクリプティング(XSS) • SQ... 続きを読む

BadStore.netを使った脆弱性調査 - kyonta1022’s blog

2019/04/07 15 users 脆弱性調査 ISO player カラム名 仮想マシン

環境構築 仮想マシン BadStoreのisoをダウンロード VMware Workstation 12 Playerで仮想マシンを作成 仮想マシン起動 外部の端末からアクセスできるようにする WEBアプリの脆弱性調査 Quick Item Search DB情報収集 テーブル名とカラム名の推測 SQLiによるユーザ情報抽出 Guestbook 入力可能な文字列の調査 XSSを仕掛け... 続きを読む

XSStrike - 公開前にチェック。CUIでXSSを見つける MOONGIFT

2018/11/29 19 users CUI クロスサイトスクリプティング ユーザデータ 脆弱性

XSS（クロスサイトスクリプティング）はWebシステム開発者としては特に注意していることでしょう。今なお、大事なファイルが平文で保存されていたとか、脆弱性をついてユーザデータをすべて抜き取られたといった問題はXSSによって起こされています。 そんなXSSをチェックできるのがXSStrikeです。XSStrikeを使ってテスト... 続きを読む

【新機能】API Gateway のステージに AWS WAF を直接関連づけられるようになりました ｜ DevelopersIO

2018/11/07 39 users DevelopersIO クロスサイトスクリプティング

2018年11月5日です。�さらりと便利なリリースが飛び込んできましたね。 Amazon API Gateway Adds Support for AWS WAF AWS WAF を Amazon API Gateway に使用して、SQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃から保護することができます。さらに、ルールを使用して、IPアドレス、地域、要求サ... 続きを読む