[5226] Re:「Webアプリ脆弱性分類とか」

記事個別表示 (5226)

これは「水無月ばけらのえび日記 : Webアプリ脆弱性分類とか」に関連するコメントです。

[5226] Re:「Webアプリ脆弱性分類とか」

ばけら (2009年1月10日 5時26分)

>それだけではまずいです。以下の"それマルチバイトで"のところ参照。

　文字符号化方式についてはここでは議論していませんが、それは別途注意すべきでしょうね。属性値に限らず、XSSに限らず発生する問題です。

>data: スキーマも危険です。

　それは「など」に含んでいるつもりです。tel: や mailto: なども場合によっては問題がありますし、危険なものを列挙する方向では考えたくないですね。その後ろに書いてあるように、http: か https: 以外は入ってこないようにした方が良いという考えです。

>ip (範囲)をチェックすれば良いと思います。

　同組織内に攻撃者がいたら防げません。携帯サイトならばそれなりに効果があると思いますが、PCサイトでは危険ではないでしょうか。

これは「水無月ばけらのえび日記 : Webアプリ脆弱性分類とか」に関連するコメントです。
全読: [5225]Re:「Webアプリ脆弱性分類とか」からのスレッド(4件)]
- [5225] Re:「Webアプリ脆弱性分類とか」 : n (2009年1月10日 5時15分)
  - [5226] Re:「Webアプリ脆弱性分類とか」 : ばけら (2009年1月10日 5時26分)
    - [5227] Re:「Webアプリ脆弱性分類とか」 : ばけら (2009年1月10日 5時31分)
    - [5230] Re:「Webアプリ脆弱性分類とか」 : りゅう (2009年1月12日 8時3分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>それだけではまずいです。以下の"それマルチバイトで"のところ参照。 >　文字符号化方式についてはここでは議論していませんが、それは別途注意すべきでしょうね。属性値に限らず、XSSに限らず発生する問題です。 > >>data: スキーマも危険です。 >　それは「など」に含んでいるつもりです。tel: や mailto: なども場合によっては問題がありますし、危険なものを列挙する方向では考えたくないですね。その後ろに書いてあるように、http: か https: 以外は入ってこないようにした方が良いという考えです。 > >>ip (範囲)をチェックすれば良いと思います。 >　同組織内に攻撃者がいたら防げません。携帯サイトならばそれなりに効果があると思いますが、PCサイトでは危険ではないでしょうか。

新生鳩丸掲示板♯

記事個別表示 (5226)

[5226] Re:「Webアプリ脆弱性分類とか」