例えばSQLインジェクションであれば、情報漏えいやデータ改ざんなどの危険性があるので理解できますが、XSS対策として過剰に投資する必要性に疑問を感じるのです。
いま、あえて問います。世間でいわれているほど、XSSは危ないのでしょうか?
どう考えても危ないでしょ。 SQL インジェクションでスクリプト埋め込んだりするんだから。
原理から正しく学ぶということは、HTMLなりJavaScriptの文法をしっかり学ぶことでもある。またエスケープを正しく行わないと、セキュリティ上の問題以外に、表示がおかしくなるなどの不具合が生じる。これはプログラマとして必須の知識なのだ。
セキュリティ以前に「正しい結果を返す」事が大前提。逆に正しさを理解すればセキュリティの基本的な概念も理解できる。
大垣さんのブログには、「出力時に過剰とも言えるエスケープ処理」とあるが、多くの文字をエスケープすれは安全になるというものでもない。HTML上の場所に応じた適切なエスケープが必要だ
出力先のフォーマットに即していないとエスケープそのものの意味がない。
インジェクション系脆弱性の根本原因はリテラル(定数)が枠をはみ出し、命令として解釈されることだ。
ここが理解できないと XSS を理解するのは難しい。
「入力間違い」と「不正な入力」をどう区別をつけるのだろう。
入力内容から入力者の意識までは読み取れない。
決して行ってはならないのはWAFで保護しているから大丈夫、とシステム上で対策できる問題を放置する事です。Webセキュリティ対策はあくまでもWebシステムが"主"でありWAFは"従"です。
きっとこういう当たり前の考えを持たないで WAF を導入するところがでてくるんだろうな。 それで「専用のセキュリティウェアを導入済みでしたが」みたいな言い訳をするんだろう。
たしかに対策は簡単だよ。すでに見つかった脆弱性に対する対策はね。 それこそ、なんでこんなことすらしてなかったの?って思うくらいに。 だけど「いまだ発見されていないもの」に対する対策は難しいと思うよ。 それは「ただのエスケープ処理程度が」にしてもなんだ。 全て塞いでいるつもりでも、意外なところで漏れちゃったりしちゃうんだね。 簡単だよーなんて言ってる人たちはすごいね。
XSS脆弱性をひとくくりにしている辺り釣り。
必要あれば、被害届けを出したいという意思を伝えました
穴のあるウェブアプリを作って被害届けを出すと言う事は…壮大な釣りか。
予告inに残されている犯人のIP、および関連する情報を提供する事
犯行予告通報フォームのURL部分のエスケープ処理(不正な文字列を無効化する処理)を行っていませんでした。結果、悪意あるコードをURL部分に埋め込んだ場合、コードを実行させる危険性が存在しました
- 1000スピーカー
- 1
- Apple
- 1
- calculator
- 1
- comet
- 1
- computer
- 3
- eclipse
- 1
- Ext.js
- 2
- feedburner
- 1
- flash
- 1
- font
- 1
- game
- 1
- google chrome
- 1
- Greasemonkey
- 1
- HTTP
- 4
- IPアドレス
- 1
- Java
- 1
- JavaScript
- 3
- Linux
- 2
- mixi
- 1
- NG
- 2
- Nucleus
- 1
- OpenID
- 1
- os
- 2
- photoshop
- 1
- PHP
- 1
- RSS
- 1
- SBM
- 3
- SMO
- 1
- software
- 3
- 1
- URL
- 1
- WAF
- 1
- Webサービス
- 1
- Windows
- 2
- XSS
- 4
- しおり
- 1
- インフレ
- 1
- ウェブサービス
- 1
- カンファレンス
- 1
- クラッキング
- 1
- コカコーラ
- 1
- コメント
- 4
- コモンズ・マーカー
- 6
- コンセプトモデル
- 1
- ジンバブエ
- 1
- スパム
- 1
- セキュリティ
- 11
- ニュース
- 1
- ネタ
- 1
- ネットオークション
- 1
- ネットワーク
- 4
- バズワード
- 1
- ブログ運営
- 3
- プラグイン
- 1
- プロキシ
- 4
- プログラミング
- 1
- プロモーション
- 1
- マナー
- 1
- マーケティング
- 2
- メモ
- 1
- メール
- 3
- リリースノート
- 1
- 世間知らず
- 1
- 事業
- 2
- 事業譲渡
- 1
- 仕事
- 2
- 仕様
- 1
- 会員登録手法
- 1
- 会社
- 2
- 例
- 2
- 保険
- 1
- 備忘録
- 1
- 共有
- 1
- 助成金
- 1
- 北朝鮮
- 6
- 反面教師
- 11
- 取引
- 1
- 哲学
- 1
- 商品
- 1
- 嗅覚
- 1
- 在り方
- 1
- 多様性
- 1
- 大麻
- 2
- 学習
- 2
- 対論
- 4
- 引用β
- 1
- 思想
- 9
- 手法
- 2
- 拉致問題
- 6
- 携帯電話
- 1
- 教育制度
- 2
- 文化
- 1
- 時事
- 6
- 書き方
- 10
- 書籍
- 1
- 本質
- 1
- 欲しいもの
- 1
- 注釈
- 56
- 派遣
- 3
- 消臭
- 1
- 理論
- 1
- 瑕疵
- 1
- 用件定義
- 1
- 異業種連携
- 1
- 着想
- 1
- 社会
- 3
- 社会の仕組み
- 1
- 竹島
- 1
- 経営
- 4
- 経済
- 1
- 融資審査
- 1
- 解散
- 1
- 言い回し
- 1
- 言い訳
- 1
- 記事タイトル
- 1
- 設定方法
- 1
- 説明
- 1
- 論法
- 4
- 論理
- 2
- 財務
- 3
- 賃借
- 1
- 賛成
- 1
- 釣り
- 3
- 開発
- 5
- 音楽
- 1
データベースに保存した情報は生データのはずなのに HTML で出力する際にエスケープしないとか、SQL インジェクションと XSS は同じレイヤー上で考えなければいけない事のはず。 ウェブサイトへの攻撃とエンドユーザーへの攻撃と言う違いがあり、後者は直接運営企業に影響しないながらも「マルウェアの発信地」となってしまうような事は避けるべき。 必要性に疑問を感じることに疑問を感じる。