質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

2回答

2338閲覧

chromeのxss auditorって

退会済みユーザー

退会済みユーザー

総合スコア0

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

0グッド

1クリップ

投稿2018/12/21 13:12

編集2022/01/12 10:55

最新版のchromeのxss auditorってバイパスできるのでしょうか?

追記reflected xssに限定します。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ockeghem

2018/12/22 01:06

バイパスの意味があいまいですが、(1)サイト側で無効化する、(2)ブラウザ利用者が無効化する、(3)攻撃者がXSS Auditorをすり抜けて攻撃する、(4)その他、のどれでしょうか?
退会済みユーザー

退会済みユーザー

2018/12/24 23:36

失礼しました。(3)の意味になります。
guest

回答2

0

攻撃者によってGoogle ChromeのXSS auditorがバイパスできるかという質問ですが、YES/NOで答えるならばYES(バイパスできる)です。
そんなに難しいものではなく、私の書いた本(安全なWebアプリケーションの作り方 第2版)の4.17節に出てくるDOM Based XSSは、今ざっと試したところ、半分以上がバイパスできます。別にauditorをバイパスするための工夫は入っていないので、「そういうもの」という認識です。
興味があれば試してみてください。

投稿2018/12/25 00:24

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2018/12/25 14:19 編集

回答ありがとうございました。
guest

0

未検証ですが。

【WindowsでXSSテストしたいときに使うブラウザって - hnyxe’s blog】
http://hnyxe.hatenablog.com/entry/2018/01/30/014245

【MacOSのChromeで、XSS Auditorを無効にする方法(2016年3月以降)】
https://beiznotes.org/disable-xss-auditor-above-chrome-49/

【Google Chrome – How to bypass ERR_BLOCKED_BY_XSS_AUDITOR – IT Support Guides】
https://www.itsupportguides.com/knowledge-base/google-chrome/google-chrome-how-to-bypass-err_blocked_by_xss_auditor/

投稿2018/12/21 19:27

kei344

総合スコア69364

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2018/12/24 23:39

ありがとうございます。 補足にもあるように設定で無効化する方法ではなく、入力されたパラメータで発火するxssです。
kei344

2018/12/25 02:15

補足とは?
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問