[5225] Re:「Webアプリ脆弱性分類とか」

記事個別表示 (5225)

これは「水無月ばけらのえび日記 : Webアプリ脆弱性分類とか」に関連するコメントです。

[5225] Re:「Webアプリ脆弱性分類とか」

n (2009年1月10日 5時15分)

投稿ミスったかな…。

>属性値を動的生成する場合、属性値を必ず二重引用符で括り、" と & と < をエスケープする。

それだけではまずいです。以下の"それマルチバイトで"のところ参照。

openmya.hacker.jp/hasegawa/public/20061209/momiji.html

>javascript: などで始まることがないように注意する。

data: スキーマも危険です。

>たやすいですかね? 確かにXSSがあればたやすいのですが、他の脆弱性がなければ難しいと思うのですけどね。

>しかし、本当にたやすく盗まれるのだとすると、どういう対策をしたら良いのでしょう。Cookieを使わずにとなると、携帯サイトのようにURLにつけたりする事になると思いますが、それはもっと危険だと思いますし……。

ip (範囲)をチェックすれば良いと思います。中間者攻撃には意味ないですが、セッションハイジャックは防げます。ただし、セッションハイジャックができるということは正規利用者を操ることができるため、どこまで有効かは分かりませんが。

これは「水無月ばけらのえび日記 : Webアプリ脆弱性分類とか」に関連するコメントです。
全読: [5225]Re:「Webアプリ脆弱性分類とか」からのスレッド(7件)]
- [5225] Re:「Webアプリ脆弱性分類とか」 : n (2009年1月10日 5時15分)
  - [5226] Re:「Webアプリ脆弱性分類とか」 : ばけら (2009年1月10日 5時26分)
    - [5227] Re:「Webアプリ脆弱性分類とか」 : ばけら (2009年1月10日 5時31分)
    - [5230] Re:「Webアプリ脆弱性分類とか」 : りゅう (2009年1月12日 8時3分)
- [6462] 未承認メッセージ (投稿元:125.27.46.159) : Melba Combs (2011年3月7日 7時24分)
- [6498] 未承認メッセージ (投稿元:201.52.88.78) : Lincoln Middleton (2011年3月14日 20時43分)
- [6513] 未承認メッセージ (投稿元:201.48.235.178) : Rudolph Simon (2011年3月21日 8時11分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >投稿ミスったかな…。 > >>属性値を動的生成する場合、属性値を必ず二重引用符で括り、" と & と < をエスケープする。 >それだけではまずいです。以下の"それマルチバイトで"のところ参照。 >openmya.hacker.jp/hasegawa/public/20061209/momiji.html >>javascript: などで始まることがないように注意する。 >data: スキーマも危険です。 > >>たやすいですかね? 確かにXSSがあればたやすいのですが、他の脆弱性がなければ難しいと思うのですけどね。 >>しかし、本当にたやすく盗まれるのだとすると、どういう対策をしたら良いのでしょう。Cookieを使わずにとなると、携帯サイトのようにURLにつけたりする事になると思いますが、それはもっと危険だと思いますし……。 >ip (範囲)をチェックすれば良いと思います。中間者攻撃には意味ないですが、セッションハイジャックは防げます。ただし、セッションハイジャックができるということは正規利用者を操ることができるため、どこまで有効かは分かりませんが。

新生鳩丸掲示板♯

記事個別表示 (5225)

[5225] Re:「Webアプリ脆弱性分類とか」