XSSに関するhiroponzのブックマーク (3)
-
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
-
ポイント ●Webアプリケーションが持つクロスサイト・スクリプティングの脆弱性が利用されると,ユーザーのCookieが詐取されたりする攻撃が成り立つ。 ●Cookie情報の詐取と,ソーシャル・エンジニアリングやフィッシング︵詐欺の手口︶が組み合わさって,被害に及ぶケースもある ●このような被害を出さないようにするには,開発者は脆弱性の無いWebアプリケーションを開発する必要がある。ユーザーは,フィッシング詐欺などへの対策と同様に,﹁信頼のおけないリンクはむやみにクリックしない﹂﹁不審なURLにはアクセスしない﹂などの習慣を身につけておく必要がある ◆Cookieは,Webサイトが発行したテキスト・データです。セッション情報や認証情報などが記述されており,ユーザーPCのブラウザに保存されます。基本的に,この情報を利用できるのは発行したWebサイトだけです。 ◆実験用に作った買い物サイト︵19
-
ポイント ●Webアプリケーションは,ユーザーに送信するページ︵コンテンツ︶を動的に作ることができる。この時に,半角<>などの特殊文字を適切に処理していないと,クロスサイト・スクリプティングにつながる ●Cookieとは,Webサーバーを訪問した人のコンピュータ︵ブラウザ︶に,テキスト・データを保存しておく仕組みのこと。認証情報や個人的な情報が入っている場合があるため,攻撃の的になりやすい クロスサイト・スクリプティングは,これまでに紹介してきた他の攻撃手法︵ディレクトリ・トラバーサル,OSコマンド・インジェクション,SQLインジェクション︶と同様にWebアプリケーションの脆弱性を突く攻撃手法です。ただし,名前の通り,サイトをクロスして︵またがって︶実行されるため,しくみが複雑になっています。 この連載では,クロスサイト・スクリプティングの例として,ユーザーPCのCookieの内容を詐取す
-
1