![「サイボウズ バグハン合宿2017」 開催報告 - Cybozu Inside Out | サイボウズエンジニアのブログ](https://cdn-ak-scissors.b.st-hatena.com/image/square/95ca067c8b8d5f1213fed602f7d9c7eb7f10efba/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fc%2Fcybozuinsideout%2F20171109%2F20171109143533.png)
品質保証部の青田です。 色々担当している器用貧乏なのですが、今回は脆弱性報奨金制度の中の人枠で。 サイボウズが提供している脆弱性検証環境についてのエントリです。 サイボウズでは、製品やサービスの脆弱性をご報告いただいた際に報奨金を支払う制度を運用しています。国内ではまだ珍しい制度なので、ここ1年ぐらいで新聞やWebニュースに取り上げていただく機会が結構ありました。そのいずれかを目にされた方もいらっしゃるのではないでしょうか。 「報奨金の支払い」という部分にスポットが当たりやすい制度ですが、実際には他の施策ではカバーしにくい部分への備えとしている、というのが正確なところです。開発や試験のフェイズで対策を立て、運用チームが様々な監視体制を整え、定期的に外部監査を実施する等。それらがかみ合う形で、製品・サービスの品質向上を実現しているのです。 2014年の報奨金制度については、その結果をこちらで
MicrosoftのWebブラウザ、Internet Explorer/EdgeにはXSS攻撃からユーザーを保護するためのXSSフィルターという機能が搭載されている。XSSフィルターは、リクエストにXSS攻撃らしき文字列があり、ページ内にそれに対応する文字列が出力されている場合に、ページ内の対応する文字列の一部を書き換えることによりユーザーを保護する。この書き換え動作は安全に行われているのだろうか?答えはNoだ。今回私は、XSS脆弱性のないありふれたページで、XSSフィルターの動作を利用することで、保護するどころかXSS脆弱性を作り出すことができる手法を発見した。本講演では、XSSフィルターを利用したXSS攻撃の可能性について技術的な詳細を述べるとともに、サイト管理者はこのXSSフィルターの悪夢とどう向き合うべきかについて提案する。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く