ウェブセキュリティとWeb2.0 XSS

スポンサーリンク
XSSの問題:

  • Cross-Site Scripting(XSS) クロスサイトスクリプティング
  • (古い)プログラム: 動的なデータは、検証(validation)なしにクライアントへ送られます。
  • 次のコンテンツは、危険になります。
    • HTML
    • CSS
    • JavaScript
XSS 新しい危険:

XSSどこでも起きる
  • XML
  • RSS
  • HTTP Headers (HTTPのヘッダ)
  • ...など
すべての入力されるデータは検証しなければなりません。

すべての動的ファイルは検証しなければならない
  • REST web サービス APIも含まれます: それらを使うのは、Ajaxアプリケーションだけではありません。

XSS より危険:

思いつきのXSS
  • JavaScriptのないXSS
  • 高度なJavaScript
  • 攻撃者は、埋め込まれたメディアを利用します。
フィルターには、ホワイトリストアプローチを使わなければなりません。
ブラックリスト形式は、使うべきではありません。

原文
http://us.apachecon.com/us2007/downloads/web20security.pdf
スポンサーリンク
スポンサーリンク
 
いつもシェア、ありがとうございます!
Twitter
Facebook
LINE
Pocket
はてぶ
RSS

もっと情報を探しませんか?

関連記事

最近の記事

人気のページ

スポンサーリンク
 

過去ログ

2020 : 01 02 03 04 05 06 07 08 09 10 11 12
2019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12

サイト

Vim入門

C言語入門

C++入門

JavaScript/Node.js入門

Python入門

FreeBSD入門

Ubuntu入門

セキュリティ入門

パソコン自作入門

ブログ

トップ

プライバシーポリシー