回答編集履歴

対策

2017/07/05 04:35

投稿

think49

スコア18194

answer CHANGED Viewed

@@ -25,4 +25,11 @@
 ※繰り返しになりますが、「**分からない単語でWeb検索する**」は調査の基本なので、覚えておくと良いと思います。
+### 対策
+IPAが資料を用意しています。
+次のページの [エコーバック対策] > [スクリプト注入] を参照して下さい。
+- [IPA セキュア・プログラミング講座：Webアプリケーション編](https://www.ipa.go.jp/security/awareness/vendor/programmingv2/web.html)
 Re: super1234 さん

\(2017/07/05 11:41追記\)

2017/07/05 04:35

投稿

think49

スコア18194

answer CHANGED Viewed

@@ -17,7 +17,7 @@
 というわけで、HTMLインジェクションとXSSは別概念です。
 HTMLインジェクションの方が広義といえます(下記に訂正文有)。
-**(2017/06/05 11:41追記)**
+**(2017/07/05 11:41追記)**
 CWE-79ではインジェクションする言語に Flash, ActiveX を含んでいました。「HTMLインジェクションがXSSの広義」は誤りでしたので訂正致します。
 - [クロスサイトスクリプティング - Wikipedia](https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0#.E3.82.A4.E3.83.B3.E3.82.B8.E3.82.A7.E3.82.AF.E3.82.B7.E3.83.A7.E3.83.B3.E3.81.99.E3.82.8B.E8.A8.80.E8.AA.9E)

「HTMLインジェクションがXSSの広義」は間違い

2017/07/05 02:42

投稿

think49

スコア18194

answer CHANGED Viewed

@@ -15,8 +15,14 @@
 > ここで、よく耳にする**クロスサイトスクリプティング（以下XSS）**という言葉との関連について確認しておきたい。XSSとは、HTMLインジェクション脆弱性を利用した攻撃手法の一形態である。攻撃者に用意されたスクリプトが、攻撃者のサイトを踏んだユーザーから目的のサイトへ送られるために、スクリプトがサイトをまたがって（クロスして）実行されるという意味でその名が付いている。しかし、スクリプトがサイトをまたがるかどうかは、この脆弱性の性質とは直接関係がない。また、スクリプトがサイトをまたがない形のスクリプトインジェクションや、スクリプトを使わないフレームインジェクションなどは、XSSの定義からは外れてしまう。よって、ここではこの種の脆弱性を総称して、HTMLインジェクションという呼び方をする（図2）。
 というわけで、HTMLインジェクションとXSSは別概念です。
-HTMLインジェクションの方が広義といえます。
+HTMLインジェクションの方が広義といえます(下記に訂正文有)。
+**(2017/06/05 11:41追記)**
+CWE-79ではインジェクションする言語に Flash, ActiveX を含んでいました。「HTMLインジェクションがXSSの広義」は誤りでしたので訂正致します。
+- [クロスサイトスクリプティング - Wikipedia](https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0#.E3.82.A4.E3.83.B3.E3.82.B8.E3.82.A7.E3.82.AF.E3.82.B7.E3.83.A7.E3.83.B3.E3.81.99.E3.82.8B.E8.A8.80.E8.AA.9E)
+- [CWE-79](http://jvndb.jvn.jp/ja/cwe/CWE-79.html)
 ※繰り返しになりますが、「**分からない単語でWeb検索する**」は調査の基本なので、覚えておくと良いと思います。
 Re: super1234 さん