1. webセキュリティ/XSS
「サイトを跨ってスクリプトを実行する」
それだけでは、なにが問題か、分からない。
他の脆弱性がからむらしい。 -- ToshinoriMaeno 2015-06-01 01:01:49
2. どういう問題か
EC サイトにXSSを許すような脆弱性があると、 Cookie の値を任意の相手に送信できます。??
サイトから直接個人情報が漏れるわけではない。
被害が分散するので、気付かれにくい。 -- ToshinoriMaeno 2012-09-12 00:51:12
3. 攻撃
XSS脆弱性にはいろいろあって、結果として(スクリプトを読み込んだ側で)が攻撃を受ける。 ECサイトの「なんらかの脆弱性」があることが第一の問題なのだが、
- そこは説明が難しいらしい。
発見するための手法もあるようだが、まとまっていない。
4. XSS
XSSとは結果としての攻撃法の名称: ブラウザを操る攻撃のひとつだ。
- XSS攻撃を許す脆弱性をもつサイト(web アプリケーション)がある。
脆弱性はさまざまな形で存在する。 (サイト側の防御不十分)
- その脆弱性を減らす方法は「徳丸本」などにある。
- 人間が守るにはつまらない注意が並んでいる。
XSS対策手法のひとつの提案
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html 例:
ユーザーが入力した名前がページの一部となって表示されるアプリケーション
任意のスクリプトを実行することもできるだろう。
実行されるのはブラウザを使っている利用者のPC上である。
--- http://www.acunetix.com/websitesecurity/xss.htm
説明と例題、テストサイト
web (ブラウザ)のセキュリティはまずはweb/SOPを理解するところから始まるようだ。DOMがその第一歩か。