[5230] Re:「Webアプリ脆弱性分類とか」

記事個別表示 (5230)

これは「水無月ばけらのえび日記 : Webアプリ脆弱性分類とか」に関連するコメントです。

[5230] Re:「Webアプリ脆弱性分類とか」

りゅう (2009年1月12日 8時3分)

>>ip (範囲)をチェックすれば良いと思います。

>　同組織内に攻撃者がいたら防げません。携帯サイトならばそれなりに効果があると思いますが、PCサイトでは危険ではないでしょうか。

むしろ全員が特定少数のゲートウェイからのアクセスになってしまう携帯サイトでは効果が期待できないと思います。

それはそれとして、以下の2つの分類は同じ「メタ文字の不適切な取り扱いバグ」が原因の脆弱性なのにも関わらず、出力先がHTMLかそうでないかで別になっているのが気になります。攻撃対象がクライアント側かサーバ側かということなのかもしれませんが、この分類方法だといわゆるタイプ2のXSSが漏れるので良くない感じがします。

・入力値をそのまま出力してしまう「エコーバック問題」

・悪意のパターンが注入されてしまう「入力問題」

これは「水無月ばけらのえび日記 : Webアプリ脆弱性分類とか」に関連するコメントです。
全読: [5225]Re:「Webアプリ脆弱性分類とか」からのスレッド(4件)]
- [5225] Re:「Webアプリ脆弱性分類とか」 : n (2009年1月10日 5時15分)
  - [5226] Re:「Webアプリ脆弱性分類とか」 : ばけら (2009年1月10日 5時26分)
    - [5227] Re:「Webアプリ脆弱性分類とか」 : ばけら (2009年1月10日 5時31分)
    - [5230] Re:「Webアプリ脆弱性分類とか」 : りゅう (2009年1月12日 8時3分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>>ip (範囲)をチェックすれば良いと思います。 >>　同組織内に攻撃者がいたら防げません。携帯サイトならばそれなりに効果があると思いますが、PCサイトでは危険ではないでしょうか。 > >むしろ全員が特定少数のゲートウェイからのアクセスになってしまう携帯サイトでは効果が期待できないと思います。 > >それはそれとして、以下の2つの分類は同じ「メタ文字の不適切な取り扱いバグ」が原因の脆弱性なのにも関わらず、出力先がHTMLかそうでないかで別になっているのが気になります。攻撃対象がクライアント側かサーバ側かということなのかもしれませんが、この分類方法だといわゆるタイプ2のXSSが漏れるので良くない感じがします。 > >・入力値をそのまま出力してしまう「エコーバック問題」 >・悪意のパターンが注入されてしまう「入力問題」

新生鳩丸掲示板♯

記事個別表示 (5230)

[5230] Re:「Webアプリ脆弱性分類とか」