【Webアプリケーションのセキュリティ 9】〜 クロスサイトスクリプティング脆弱性 〜
cgiなど、動的なWebページ表示をする機構に発生する、クロスサイトスクリプティング脆弱性について、本誌でも何度も取り上げてきたので恐らく皆さんもご存じであろう。クロスサイトスクリプティング脆弱性の特徴は、該当Webサーバ自身は被害を受けず、Web閲覧者が被害
特集
特集
クロスサイトスクリプティング脆弱性のないセキュアなプログラムを開発するのに必要なことは、他のセキュアプログラミングと全く変わりなく、単にユーザ入力されたものをきちんとチェックするというだけのことである。クロスサイトスクリプティング脆弱性が発生するのは、Webへの出力に関してであるから、Web出力時に不都合なデータ内容でないかを検査し、エスケープ処理を行えばよい。
クロスサイトスクリプティング脆弱性の原因は、ユーザが入力した文字列をWebページとして出力する際に、cgi作成者が全く意図しないHTMLタグやJavaScriptコードが出力されてしまうことである。従って、ユーザ入力された文字列を出力する際に、その文字列にHTMLタグやJavaScriptコードが含まれないように適切にエスケープしなければならない。
office
office@ukky.net
http://www.office.ac/
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》
特集
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい
-
2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査
-
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
-
「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に