公開: 2025年3月19日16時10分頃 「世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? (www.atmarkit.co.jp)」。 脆弱性の脅威が過剰に評価されている傾向はあると思いますね。脆弱性検査の結果なんかで「500エラーが出ている」とか「HTTP応答ヘッダでサーバのバージョン情報が出ている」とかいったものが問題にされたりしますが、「それ対応する必要あるの?」と思います。検査している方としても、「念のため」レベルで報告しているのだろうと思いますが、受け取り側はそうは受け取らない場合もあるようで。まあ、報告の書き方の問題なのかも知れませんけれども。 緊急度をざっくりいくつかに分けて考えるとすると、だいたいこんな感じなのでしょうか。 緊急: 今すぐサイトを閉鎖して対応しなければならないもの重要: 早急に対応しなければならないもの要対応: 急ぎではないが、対応が必要と
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
サイト『予告in』にセキュリティ脆弱性があるとしてクロスサイトスクリプティング (Cross Site Scripting) を利用したコードが『予告in』に貼られるという騒動が起きた。 8月2日の深夜の出来事で『Internet Exploler』(その他互換ブラウザ)でアクセスすると不正なコードが送信されるというもの。 そのコードを踏むと『2ちゃんねるニュース速報VIP』に「警視庁○○する」として書き込まれるのだ。 それだけではなく名前欄は“fusianasan”(IP、もしくはリモートホストが表示される)、本文は「嘘です」というもの。 クロスサイトスクリプティングとはいわゆるサイトを横断したコードである。 今回は『予告in』にあるスクリプトを踏むと『2ちゃんねる』に投稿するように仕組まれたようだが、もちろん『2ちゃんねる』以外にも投稿させようと思えば出来る。 『予告in』運営側は「一
IEBlog : IE8 Security Part IV: The XSS Filter について、記事を書いた David Ross さんに翻訳許可をもらいましたので、訳してみました。誤訳や指摘がありましたらガンガン突っ込みをお願いいたします(他の記事も時間をとって訳していこうと思います)。当然ながら、これは私が私的に訳したものであり、Microsoftによる公式な翻訳/見解ではありません。 (訳注追加) 「reflected / Type-1 XSS」というのは、攻撃コードが被害者からのリクエスト自身に含まれるタイプのXSSで、サーバ側のアプリケーションでユーザからのリクエストに含まれる攻撃コードを「反射的」に返すような種類のXSSです。典型的には「"><script>...」のような語を検索したときに <input type="text" value=""><script>..."
セキュリティ監査においても、なりすまし攻撃が重要視されるようになってきています。そのための対策としては、任意のスクリプトを注入されないようにする、ヘッダーへのリダイレクト攻撃を防ぐなどがありますが、対策としては、画面表示時に無効化する機能を埋め込んだり、リダイレクトをするコントローラやプログラムの変数評価をきちんとすることなどがあります。 しかしながらすでにできあがっているサイトを検査する、自分でつくったサイトを検証するとなると、面倒です。 XSS脆弱性性攻撃、HEADER書き換え攻撃の広範囲なテストを自動でやってくれる無償ツール、それがParosです。 自主的にやるXSSの検証は、結構ストイックな作業でもあるし、なんだかテスター/テスティングの仕事として評価されているのかどうか職場によっては微妙な空気がただよっちゃう場合もありますが、心が乾ききってしまう前に、ツールの導入を検討してみるの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
