Hatena Blog Tags
はてなブログ トップ
XSS
このタグでブログを書く
言葉の解説
ネットで話題
関連ブログ

XSS

(ウェブ)
えっくすえすえす

クロスサイトスクリプティング( Cross Site Scripting )の略。
XSS脆弱性

このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。
TT 脆弱性 Blog1ヶ月前

XSS / クロスサイトスクリプティング (まとめ)

【ニュース】■2015年◇2015年12月 ◆米国製のスマート風力発電所のWeb管理コンソールにXSS脆弱性、管理権限を奪取可能 (スラド, 2015/12/14) http://security.srad.jp/story/15/12/13/1743245/ ⇒ https://vul.hatenadiary.com/entry/2015/12/14/000000 ■2018年◇2018年4月 ◆「Drupal 8」に「Drupalgeddon 2.0」とは異なるあらたな脆弱性 - 重要度は「中」 (Security NEXT, 2018/04/19) http://www.security…

#XSS#クロスサイトスクリプティング

ネットで話題

もっと見る
657ブックマーク色んなXSS – nootropic.menootropic.me
624ブックマークXSS (Cross Site Scripting) Cheat SheetXSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want ...ha.ckers.org
544ブックマーク超絶技巧CSRF / Shibuya.XSS techtalk #7speakerdeck.com
502ブックマークEvernote の XSS 脆弱性に関して mala 氏のつぶやきtogetter.com
482ブックマークElectronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記hasegawa.hatenablog.com
458ブックマークJanetter、ネタツイートのXSSが刺さり無限に「んほぉぉ!イッぐぅぅ!!」とダイアログが出る体にさせられるtogetter.com
445ブックマークXSS再入門www.slideshare.net
442ブックマークMasato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセス...masatokinugawa.l0.cm
440ブックマークXSSの攻撃手法いろいろ - うなの日記unageanu.hatenablog.com

関連ブログ

城咲子|情報システム部セキュリティ担当のつぶやき(ぼやき)2ヶ月前

WAF徹底解説:セキュリティ担当が教える仕組み、AWS vs Cloudflare比較と「誤検知」運用の核心

こんにちは、東証プライム企業で情報システム部のセキュリティ担当をしている、城咲子です。CISSPと登録セキスペの資格を持ち、日々「いかにしてビジネスを止めずに、セキュリティを担保するか」を考えています。 現代のビジネスにおいて、WebサイトやWebアプリケーションは「会社の顔」であり、同時に「収益の源泉」です。しかし、それらはインターネットという公道に常に晒されており、サイバー攻撃者にとって最も狙いやすい標的でもあります。 「うちはファイアウォール(FW)を入れているから大丈夫」 もし、まだそう考えているとしたら、その認識は非常に危険かもしれません。 本記事は、WAF(Web Applicat…

#WAF#AWS WAF#Cloudflare#セキュリティ#サイバー攻撃#SQLインジェクション#XSS#誤検知#過検知
ITエンジニアが仕事に対して思うこと5ヶ月前

情報処理安全確保支援士試験 令和3年秋午後2問1の問題解説

全体像:どんな状況設定? 舞台は半導体メーカーU社。国内拠点のU社と国内40社の協力会社が、生産計画・設計書類などの“受発注以外”のファイルをやり取りするために、社内開発のWebベース交換システム「Dシステム」を使っています。アクセスは協力会社側とU社の「ファイル受渡し用PC」からHTTPSで行い、社内からはFWでその専用PCだけに制限。アカウントは“協力会社の拠点ごとに1つ”、認証はID/パスワードです。 事件発生:改ざん+海外アクセスの発覚 ある日、Dシステムのトップページが改ざんされます。原因はHTTPサーバの既知脆弱性の悪用で、パッチ適用等で復旧。この調査で、協力会社P社のアカウントが…

#情報処理安全確保支援士#HTTPS#マルウェア#XSS#イベントハンドラ#スクリプト#SaaS#パブリッククラウド#スマホ
セキュリティを作る5ヶ月前

【DVWA攻撃編】SQLi・XSS・コマンドインジェクションを試してみた(ローカル環境)

【DVWA攻撃編】SQLi・XSS・コマンドインジェクションを試してみた(ローカル環境) 前回の記事では UTM上のUbuntuにDVWA(Damn Vulnerable Web Application)を構築しました。今回はその環境で、実際に脆弱性を突く攻撃をいくつか試してみました。 ※ この記事はローカルの学習環境でのみ実行し、決して実環境や他人の環境で試さないでください。 🔑 前提条件 DVWAにログイン(admin / password) 左サイドバーの「DVWA Security」から Security Level: Low に設定 1. 💉 SQL Injection(SQLi) …

#DVWA#SQL Injection#XSS#コマンドインジェクション#ペネトレーションテスト
The light of hope to the other side of the tunnel - Kotsu Kotsu To -6ヶ月前

From Image Upload to Account Takeover — Chaining Upload, Storage, and CORS Issues in a Real Pentest から学ぶ

ソース: medium.com 脆弱性:XSS、FileUpload、CORS 訳: 偵察:アップロード機能の検討 アプリケーションをレビューしているときに、プロフィール画像のアップロード機能があることに気付きました。.svgや.htmlといった他のファイル形式も受け付けられるかテストしてみたところ、驚いたことにSVGのアップロードも受け付けられ、そのままレンダリングされました。 スクリプトタグを含むアップロードされた.svg画像 - 初期XSSテスト アップロードしたファイルをブラウザで開くと、なんとポップアップが表示されました! XSSポップアップは保存されたXSS脆弱性を確認します セッ…

#XSS#CORS
The light of hope to the other side of the tunnel - Kotsu Kotsu To -6ヶ月前

Hijacking Sessions with IDOR and XSS から学ぶ

ソース: bxmbn.medium.com 内容: 保険金請求や本人確認といった機密文書を扱うために設計されたプラットフォームが、攻撃者にとっての金鉱と化す様子を想像してみてください。保険関連ポータルのファイルアップロード機能を調べていた時に、まさにそんな状況に遭遇しました。最初は簡単なテストだったものが、クロスサイトスクリプティング(XSS)の脆弱性へと発展し、大量のアカウント乗っ取りにつながる恐れがありました。 エントリーポイント このシステムでは、ユーザーがフォームのバックアップとしてファイルをアップロードできるようになっています。これはこの種のプラットフォームではよくある機能です。ファ…

#XSS
The light of hope to the other side of the tunnel - Kotsu Kotsu To -1年前

Cookie Tossingについて学ぶ

Cookie Tossing 攻撃とは? Cookie Tossing は、攻撃者が異なるドメインやサブドメインから意図的に悪意のあるクッキーをセットし、ブラウザのクッキー処理の仕様を悪用する攻撃手法で。これにより、ターゲットドメインのアプリケーションに影響を与え、認証情報の窃取やセッションハイジャック、脆弱なSelf-XSSのエスカレーションなどにつながる可能性があって。 攻撃の基本概念 ブラウザはクッキーをサーバーに送信するとき、クッキーのドメインとパスの優先順位 に従って並べ替えて。この仕様を悪用し、攻撃者はより優先度の高いクッキーを仕込むことで、正規のクッキーを上書きまたは操作しようと…

#CookieTossing#XSS
葉っぱ日記1年前

ISO-2022-JPによるXSSの話

はじめに 久しぶりに文字コードのXSSの話が盛り上がってるので、久しぶり(3年以上ぶり!)にブログを書きました。あけましておめでとうございます。今年と来年とそのさきも3年くらいよろしくお願いします。 blog.tokumaru.org HTTPレスポンスヘッダーやHTML metaタグでの文字エンコーディング名の指定がない場合に攻撃者がISO-2022-JP特有のバイト列をHTML内に埋め込むことでブラウザーがそのコンテンツをISO-2022-JPであると誤認する、そのときに動的にJavaScript内の文字列を生成しているとするとUS-ASCIIでいうバックスラッシュではなくJIS X020…

#XSS#セキュリティ
土日の勉強ノート1年前

OWASP ZAPの自動スキャン結果の分析と対策:クロスサイトスクリプティング(XSS)

「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 前回は、以前 に行った OWASP ZAP の自動脆弱性スキャンの結果の「パストラバーサル」について、分析と対策までやりました。 今回は、クロスサイトスクリプティング(XSS)を見ていきます。 それでは、やっていきます。 ※2024/8/16:全体を書き直し 当初の記事は、XSS(DOMベース)を勘違いしていたので、全面的に書き直しました。

#セキュリティ#徳丸本#脆弱性スキャン#OWASP ZAP#Burp Suite#XSS
The light of hope to the other side of the tunnel - Kotsu Kotsu To -2年前

Exploiting DOM Based XSS via Misconfigured postMessage() Function から学ぶ

ソース: medium.com 脆弱性:XSS(DOM) 訳: 今日は、設定ミスのポストメッセージ機能を通じて DOM ベースの XSS を悪用する方法について説明し。 2 つのサイトは、同じプロトコル、ホスト名、およびポートを持っている場合にのみ相互に通信できて。 2 つのサイトに上記の類似のプロパティがない場合、 同一生成元ポリシーがトリガーされて。 をバイパスする方法はいくつかあります 同一生成元ポリシー 。 その 1 つは postMessage 関数で。 postMessage メソッドは、次の間のクロスオリジン通信を安全に有効にし。 Windowオブジェクト。 postMessag…

#XSS#DOM