Movatterモバイル変換

[0]ホーム

サクサク読めて、
アプリ限定の機能も多数！

アプリで開く

はてなブックマーク

閉じる

テクノロジー
開発者が知っておきたい「XSSの発生原理以外」の話 - GMO Flatt Security Blog

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

開発者が知っておきたい「XSSの発生原理以外」の話 - GMO Flatt Security Blog

テクノロジーカテゴリーの変更を依頼記事元:

blog.flatt.tech

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

368usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

開発者が知っておきたい「XSSの発生原理以外」の話 - GMO Flatt Security Blog

368 users

blog.flatt.tech

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント15件

注目コメント
新着コメント

oldriver例えば（ここで挙げられているような）ユーザーの情報を扱うページでなくても、基本的に改ざんができるわけなので、リスクがあるということを知っておいてほしい。偽のIR情報を流したり、マルウェアをDLさせたり。

2022/03/03リンク

その他

fashi最近は手近な環境でXSSの怖いところを実演してみせようとして適当なコード書くとブラウザが親切にブロックしてくれたりするので動画素材ありがたい

セキュリティ

2022/03/03リンク

その他

manhole“ドメインによってWebサイトが正規のものだと判別され、メールアドレスとパスワードの自動フィルインが行われる”

2022/07/12リンク

その他

efclJSを使わないXSSについて

2022/03/05リンク

その他

NOV1975ええと…で？

2022/03/04リンク

その他

kasahannra後で読む

2022/03/03リンク

その他

Findingちゃんと読んだがよく分からねえ…。とりあえず怖いってことだけ理解しました

2022/03/03リンク

その他

ko-ya-maService Workerを登録できてしまえば継続的に実行可能

2022/03/03リンク

その他

tettekete37564自動フィルインの奴はあとで確認したい / かつてXSS のあるWebメールのサービスがあってね。あれ見たらヤバい上に気付きにくいのが脅威なんだよね。対策は簡単だけど確認しづらいのも。

あとで読む

2022/03/03リンク

その他

セキュリティ

2022/03/03リンク

その他

shikiarai面倒なのでできることは何でもできると説明してるけどちゃんと具体例出さないとダメだな〜と。

2022/03/03リンク

その他

2022/03/03リンク

その他

pmint書いてることは「スクリプトって何ができるの？」と同義

2022/03/03リンク

その他

camellow自分で何か入力して自分の画面にアラートが表示されてもだから何？って感じだもんね。この説明を見てもなんでクロスサイトって言うのかわからない。

2022/03/03リンク

その他

shibukkいつも貴重な情報ありがとうございます

2022/03/03リンク

その他

kvxすてき

2022/03/03リンク

その他

endokちょうど欲しかった情報。

2022/03/03リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「開発者が知ってお...」が注目されています。

気持ちをシェアしよう

ツイートする

開発者が知っておきたい「XSSの発生原理以外」の話 - GMO Flatt Security Blog

はじめにこんにちは。株式会社FlattSecurityのセキュリティエンジニアの冨士です。本稿では、XSS(ク...はじめにこんにちは。株式会社FlattSecurityのセキュリティエンジニアの冨士です。本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っているエンジニアの多くの方が知っている脆弱性です。ですが、私はWebアプリケーションの脆弱性診断を行ってきた経験の中で多くのXSSを目にしてきましたし、依然として検出率の多い脆弱性の一つだと感じています。その認知度や、一般的な対策方法のハードルの低さ(設計や仕様によっては対策工数が大きい場合もありますが)にも関わらずXSSの検出率が多いのは、直感的にリスクがわかりづらく、アラートをあげるだけの紹介が多いことが一つの要因ではないかと考えています。すなわち、興味範囲が「どのよう