- 締切済み
XSSの新たなタイプとは何というものでしょうか?
以下の文章が出ていました。 ------------------------------------------------------------ クロスサイトスクリプティング(XSS)の基本的な対策が行き届いていないウェブサイトも多く、届出の多さに繋がっている。 中には、ウェブサイトの本来の機能に関する部分では対策が行われつつも、エラーページなどに問題が残る例もある。 加えて2007年は、ファイル形式や文字コードをウェブブラウザに誤認させる方式の、新しい攻撃手法が知られるようになった。 このため、今まで脆弱性がなかったと思われていたウェブサイトにも、脆弱性が生まれてしまうこととなり、対策が必要なウェブサイトが出てきている。 ------------------------------------------------------------ この中の、 「加えて2007年は、ファイル形式や文字コードをウェブブラウザに誤認させる方式の、新しい攻撃手法が知られるようになった。」 という攻撃手法とは何というものでしょうか?
- touchy
- お礼率88% (704/796)
- ネットワーク
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- ranuwe
- ベストアンサー率33% (7/21)
UTF-7と判断されてXSSを実行されるやつでしょうか? プログラム内では安全と判断した文字列が、ブラウザが文字コードを誤って 危険な文字として表示してしまい攻撃が実行されます。 http://paranoid.dip.jp/kaworu/2008-01-25-1.html もしかしたら、この事ではないかも… 間違ってたらすみません。
関連するQ&A
- XSS、CSRF、SQLインジェクションについて
XSS、CSRF、SQLインジェクションをそれぞれ簡単に説明すると、 XSS・・・動的なWebサイトにおける入力フォームの脆弱性 CSRF・・・ユーザーになりすましてWebサーバーにリクエストすること SQLインジェクション・・・アプリケーションが実行するSQL文に変なものを注入して、意図しない 動作をさせる攻撃のこと で正しいですか?
- ベストアンサー
- その他(プログラミング・開発)
- HTMLタグが入力できるブログ等、XSS対策は?
お世話になります。 巷のサイトでは、XSS(クロスサイト・スクリプティング)を防ぐため、会員登録や買い物などのフォーム入力欄では、HTMLタグの入力を許可していないことが殆どだと思います。 一方で、ブログ等(私が知っているのはlivedoor blogですが)では、Youtube動画などを表示するために、記事の入稿欄で(Youtube等が発行したタグ)の入力を許可しています。このようなサイトの場合、書こうと思えば何でも書けるように思いますが、XSS対策はどのように行っているのでしょうか。 ・script language = など、特定の文字列を弾いている ・DBに書き込みを行うわけではないから(?)などの理由により、何を書かれても構わない(XSS対策は特に行っていない) など、いくつか考えられると思いますが、事情をご存知の方、お教え頂けますでしょうか。 どうぞよろしく御願いいたします。
- ベストアンサー
- その他([技術者向] コンピューター)
- XSSを意図的に引き起こしたい
お世話になっています。 今回セキュリティ講座を開くことになり、 XSSについて講義をすることになったのですがちょっと困っているので質問させてください。 PHPを使ってフォームに入力した文字列をそのまま出力する、 というWebアプリを作りたいのですが、 入力に <script>alert("XSS");</script> と入力してもアラートが表示されません。 PHPによって生成されたソースを見てみると、 <script>alert(\"XSS");</script> と¥でエスケープされていました。 受講者に実際にjavascriptが動いてしまうということを実践させたいので、 なんとかalertを動かす方法は無いのでしょうか? よろしくお願いします。 (厳密にはXSSではなくスクリプトインサーションですが^^;) 以下、ソースコードです。(BODY部分のみ抜粋) <form action="test3.php" method="post"> 入力<input type="text" name="str"><br> <input type="submit" name="submit" value="表示"><br> <?php if($_POST['submit']) { $string = $_POST['str']; echo $string; } ?> 実行環境: windows XP wwwサーバ:apache2.2 PHP5.2.8 ブラウザ:firefox3
- ベストアンサー
- ネットワーク
- phpのXSS対策 どこに問題が?
phpのXSS対策について質問があります。 あるphpの参考書に以下のような記述があったのですが、理解できません。↓ ---------------------------------------------------------------------------------- ただし、htmlspecialchars()関数でのエスケープ処理は「&」「<」「>」「"」「'」を文字参照に変換するものなので、これらの文字をまったく使わずにJavaScriptのコードを記載できる場所に変数を表示させるようなHTMLを書いてしまった場合は対策できません。 たとえば、以下のような場所に変数を表示する場合です。このようなコーディングをしてしまった場合は、htmlspecialchars()関数でのエスケープ処理はXSSを防ぐことはできません。このような場所に変数を書かないように注意してください。 <a href="<?php echo $input; ?>"> ---------------------------------------------------------------------------------- この記述を書いてしまうとなぜhtmlspecialchars()関数では防げないのでしょうか? よろしくお願い致します。
- ベストアンサー
- PHP
- Apache2 413エラーを意図的に出すには?
こんにちは。 Apache2のエラー処理にクロスサイトスクリプティング (CrossSite Scripting (XSS) )の脆弱性を回避する対策で、 オリジナルのエラーページを容易しようと思っているのですが、 ページを、設定する方法は分かっているのです、その413エラーを 意図的に表示させ正常に動いているか確認したいと思っています。 413エラーを意図的に出すテスト方法はございますでしょうか? #このような場所でブラックだったでしょうか。。 宜しくお願い致します。
- 締切済み
- Linux系OS
- 会員数が少ないログイン後の会員エリアならば、Webアプリケーション脆弱性対策は過敏にならずとも?
会員数が少ないログイン後の会員エリアならば、Webアプリケーション脆弱性対策は過敏にならずとも良いのではと考えたのですが、妥当な考えでしょうか? 会員サイトを制作しようとしておりますが、内製にするか外部プラットフォームを使うか?で思案しております。 プログラミングできる人間はたくさんいるので内製力はあるのですが(私はプログラミングはできません)、ただ、Webプログラミングでないプログラマーばかりなので、Webの方は不慣れです。 よって、Webアプリケーションの脆弱性対策の知識がまるで無い状況です。 XSS(クロスサイト・スクリプティング) CSRF(クロスサイトリクエストフォージェリ) SQLインジェクション OSコマンドインジェクション HTTP ヘッダ・インジェクション パス名パラメータの未チェック/ディレクトリ・トラバーサル バッファーオーバーフロー など、色々ありますよね。 このあたりのことを考えると、内製はやめて外部プラットフォームを利用するしかないのか、と思っていました。問題が起こっては大変なので。 Webアプリの脆弱性対策は日々新たな脆弱性が出てくるたびに対策を追加していかなければならないので大変そうで・・・・・ そういう中で気づいたのですが、Webアプリケーションの脆弱性を突く色んな方法がありますが、よくよく考えますと、会員エリアは会員しか入らないのだから、そんなに過敏に考えなくとも大丈夫なのではないか、と思い直したのです。 何せ会員数が少ないのです。 当初は10~30名程度、100名になるのもだいぶ時間がかかる感じですので。 会員しかもらえないログインID・パスワードでログインしたあとの会員エリアですから、ここの中の各入力フォームに悪いコードを入れる輩は会員か会員がID・パスワードを教えた第三者しかないわけで、本件のように会員数が極端に少ない場合なので、すぐ面が割れると感じる会員が悪いことをしづらいだろうと思ったのです。 質問ですが、 質問[1] 会員ログインページは非会員でも開けるので、このID・パスワードのinput textに対するWebアプリ脆弱性処置ができないことになる。 ここは会員だけ開くページでないため危険にさらされるわけだから、処置ができないと結局意味が無いでしょうか? 質問[2] ログイン後の会員エリアであっても、知識のあるクラッカー(悪いハッカー)からすればURLを知ることはお手の物であり、会員しか入れないエリアの入力フォームのWebアプリ脆弱性対策ができていないと、いくらログイン後のページであっても関係なくどんどん突かれてしまうのでしょうか? 以上です。 有識者の方の的確なお話を頂戴できればとてもありがたいです。 何卒宜しくお願いいたします。
- ベストアンサー
- その他(プログラミング・開発)
- クロスサイト・スクリプティング対策について
クロスサイト・スクリプティング対策について2つ質問します。 質問1 GET及びPOSTパラメータにおいて、 '>"><hr> とブラウザに入力した場合、エスケープ処理されずにブラウザが罫線を描くと、脆弱性ありと判断されるそうですが、理由は何でしょうか。もしかして、'>">は無意味な文字列なので、'>"><hr>から <hr>のみを自動判別して、ブラウザが罫線を描くのは危険という意味でしょうか。 質問2 GET及びPOSTパラメータにおいて、 Javascript:alert(document.cookie); とブラウザに入力すると、href属性に出力されると、脆弱性ありと判断されるそうですが、理由は何でしょうか。alertメソッドが、href属性に出力されるとは具体的にどういう意味なのかわかっていませんので、そこを含めて解説をお願いします。
- ベストアンサー
- HTML
- I E で Flash を無効にする方法を教えて
Japan Vulnerability Notes CERT/CC 一覧 (公開日:2011/03/16 )に、次のように公表されました。 ------------------------------------------------------------ Adobe Flash に脆弱性 、 Adobe Flash には、任意のコード実行が可能な脆弱性が存在します。 Adobe Flash Player 10.2.152.33 およびそれ以前の Windows 版 対策として、次のように(1,2)、書かれていました。 (1)アップデートする => ( 3/23 には、Adobe Flash Player 10.2.153.1 が公開され、アップデートできたので、 一応安心なのですが、今後のために次の方法を教えて欲しいのです。) (2)以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 ----------------------------------------------------- (1) ウェブブラウザで Flash を無効にする (2) Adobe Reader で Flash を無効にする (3) ウェブブラウザ上での PDF ファイルの自動表示を無効にする 質問 ウェブブラウザは、Internet Explorer を使っています。 (1) (2) (3) の方法を何方か教えてください。
- ベストアンサー
- ネットトラブル
- Webメールサイトの脆弱性について
Webメール(Webメールサイト)の脆弱性について質問です。 会社から、脆弱性が指摘されている外部Webメールサービスのアドレスへメールを送信したとします。 以下のような条件で、且つ受信側でメールの操作を行った場合、 会社側のサーバー等が何らかの攻撃をされたり、その他の危険に晒されることはあるのでしょうか。 ・送信したメーラーに脆弱性などはないとします ・メールはテキスト形式。メーラーの仕様によりHTML形式のファイルが添付されることがある ・会社側からWebメールのサイトにはアクセスしていない ・受信側でメールを開いた ・添付ファイルは開かない ・メール本文および当然ですがヘッダーには、メールアドレスや経路情報の記述がある
- ベストアンサー
- ネットワーク
- ウイルスバスターが・・
なんか、うまくスキャンできませんでした と出てくるようになりました。。 他にも最も高い保護で守られていませんなど・・ どうすればいいのでしょうか。 アップデートしようとしても失敗してしまいます・・ 他にも 「Internet Explorer はどのようにしてクロスサイト スクリプト攻撃から保護しますか? Internet Explorer のクロスサイト スクリプト (XSS) フィルターは、ある Web サイトが別の Web サイトにスクリプト コードを追加するのを防ぐのに役立ちます。 XSS フィルターは Web サイトのやりとりを監視し、攻撃の可能性を認識すると、自動的にスクリプト コードの実行をブロックします。その場合は、プライバシーおよびセキュリティを保護するために Web ページが変更されたことを知らせるメッセージが情報バーに表示されます。 変更された Web ページが正しく動作しない場合、Web サイトのホーム ページへと移動を試み、そして Web ページへ直接移動を試みます。それでもページが正しく動作しない場合は、Web サイトの管理者に問い合わせてください。」 とでてきました。 どうすればいいのでしょうか・・
- ベストアンサー
- ウィルス・マルウェア
お礼
情報ありがとうございます。 これなんでしょうかね。 これはブラウザがUTF-7のキャラセットと誤認するようなHTMLソースをつくっている 場合のみに悪さできるもの、ということでしょうか。 どうもありがとうございました。