なんでみんな、たった一言「htmlspecialchars()でくくれよ!」って 直接、正解を言ってくれなかったんだろう。一言で済むのにね。
インジェクション系脆弱性の根本原因はリテラル(定数)が枠をはみ出し、命令として解釈されることだ。
ここが理解できないと XSS を理解するのは難しい。
たしかに対策は簡単だよ。すでに見つかった脆弱性に対する対策はね。 それこそ、なんでこんなことすらしてなかったの?って思うくらいに。 だけど「いまだ発見されていないもの」に対する対策は難しいと思うよ。 それは「ただのエスケープ処理程度が」にしてもなんだ。 全て塞いでいるつもりでも、意外なところで漏れちゃったりしちゃうんだね。 簡単だよーなんて言ってる人たちはすごいね。
XSS脆弱性をひとくくりにしている辺り釣り。
犯行予告通報フォームのURL部分のエスケープ処理(不正な文字列を無効化する処理)を行っていませんでした。結果、悪意あるコードをURL部分に埋め込んだ場合、コードを実行させる危険性が存在しました
- 1000スピーカー
- 1
- Apple
- 1
- calculator
- 1
- comet
- 1
- computer
- 3
- eclipse
- 1
- Ext.js
- 2
- feedburner
- 1
- flash
- 1
- font
- 1
- game
- 1
- google chrome
- 1
- Greasemonkey
- 1
- HTTP
- 4
- IPアドレス
- 1
- Java
- 1
- JavaScript
- 3
- Linux
- 2
- mixi
- 1
- NG
- 2
- Nucleus
- 1
- OpenID
- 1
- os
- 2
- photoshop
- 1
- PHP
- 1
- RSS
- 1
- SBM
- 3
- SMO
- 1
- software
- 3
- 1
- URL
- 1
- WAF
- 1
- Webサービス
- 1
- Windows
- 2
- XSS
- 4
- しおり
- 1
- インフレ
- 1
- ウェブサービス
- 1
- カンファレンス
- 1
- クラッキング
- 1
- コカコーラ
- 1
- コメント
- 4
- コモンズ・マーカー
- 6
- コンセプトモデル
- 1
- ジンバブエ
- 1
- スパム
- 1
- セキュリティ
- 11
- ニュース
- 1
- ネタ
- 1
- ネットオークション
- 1
- ネットワーク
- 4
- バズワード
- 1
- ブログ運営
- 3
- プラグイン
- 1
- プロキシ
- 4
- プログラミング
- 1
- プロモーション
- 1
- マナー
- 1
- マーケティング
- 2
- メモ
- 1
- メール
- 3
- リリースノート
- 1
- 世間知らず
- 1
- 事業
- 2
- 事業譲渡
- 1
- 仕事
- 2
- 仕様
- 1
- 会員登録手法
- 1
- 会社
- 2
- 例
- 2
- 保険
- 1
- 備忘録
- 1
- 共有
- 1
- 助成金
- 1
- 北朝鮮
- 6
- 反面教師
- 11
- 取引
- 1
- 哲学
- 1
- 商品
- 1
- 嗅覚
- 1
- 在り方
- 1
- 多様性
- 1
- 大麻
- 2
- 学習
- 2
- 対論
- 4
- 引用β
- 1
- 思想
- 9
- 手法
- 2
- 拉致問題
- 6
- 携帯電話
- 1
- 教育制度
- 2
- 文化
- 1
- 時事
- 6
- 書き方
- 10
- 書籍
- 1
- 本質
- 1
- 欲しいもの
- 1
- 注釈
- 56
- 派遣
- 3
- 消臭
- 1
- 理論
- 1
- 瑕疵
- 1
- 用件定義
- 1
- 異業種連携
- 1
- 着想
- 1
- 社会
- 3
- 社会の仕組み
- 1
- 竹島
- 1
- 経営
- 4
- 経済
- 1
- 融資審査
- 1
- 解散
- 1
- 言い回し
- 1
- 言い訳
- 1
- 記事タイトル
- 1
- 設定方法
- 1
- 説明
- 1
- 論法
- 4
- 論理
- 2
- 財務
- 3
- 賃借
- 1
- 賛成
- 1
- 釣り
- 3
- 開発
- 5
- 音楽
- 1
母親のような大きな愛で包み込みつつ皮肉を紛れ込ませている。 これに気づかないのは一種の才能。鈍感力。