XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

RSS

  • 解決済

    回答
    4

    【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうか。

    PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います

    • 6評価
    • 14412PV
    7968 7968 1ヶ月前
  • 受付中

    回答
    1

    javascript実行がブロックされてします

    本に書かれたとおりにXSSフィルターを無効にしても、javascriptはブロックされたままです。 徳丸本で、仮想環境で攻撃コードを試しています。 攻撃コードは、iframeに脆弱なページがあり、セッションIDを盗むというものです。 ie11でインターネットオプションからセキュリティー、レベルのカスタマイズ、XSSフィルターを無効にする、 とや

    • 0評価
    • 50PV
    reotantan reotantan 2週間前
  • 解決済

    回答
    3

    【PHP】簡易掲示板の作成② 記述法、セキュリティについてアドバイス頂けないでしょうか。

    簡易掲示板をつくる中でうまく動作せず先日質問し、その後も構成を変えるなどしてとりあえず自分が思ったように動くものにはなりました。 (過去の質問はこちら) そこで完成したものをご確認頂き、下記の点についてアドバイスを頂ければと思います。 記述方法に誤りはないか セキュリティ対策は十分か ---バージョン--- MariaDB 1

    • 0評価
    • 1156PV
    tnk_fuku tnk_fuku 3週間前
  • 解決済

    回答
    1

    画像XSSの再現方法について教えてください。

    下記の徳丸氏の記事にある「IEのコンテンツ種類判別はContent-Typeとマジックバイトの組み合わせ」のところにマジックバイトとContent-Typeの組み合わせ表があり、実際にクリックして試すことができます。 画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策 私のWindows7、IE11の環境で試したところ、Co

    • 1評価
    • 309PV
    7968 7968 1ヶ月前
  • 解決済

    回答
    1

    IE特有の画像XSSは昔の話ですか?

    下記を読んで、私もIE特有の画像XSSを再現したいと思い、試してみましたが、再現できません。 画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策 X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! getimagesize/finfoのMIMEタイプ判定はザルい Wi

    • 0評価
    • 143PV
    7968 7968 1ヶ月前
  • 受付中

    回答
    1

    XSSセキュリティについて。

    http://www.atmarkit.co.jp/ait/articles/1312/17/news010_2.html こちらのページ後半で // 安全なコードの例。★★★決して最適な方法ではない(後述)★★★ function escape_html( s ){ return s.replace( /&/g, "&" )

    • 0評価
    • 82PV
    seri seri 1ヶ月前
  • 解決済

    回答
    1

    Cakephp3でのXSS対策等のセキュリティ対策

    php:7.1.1 Apache/2.4.25 (Win32) cakephp:3.2.11 MySQL:10.1.21-MariaDB 現在、ちょっとした記事を投稿できるコミュニティサイトを作ろうとしています。 その際にセキュリティ対策でXSS対策をしようと考えています。 調べると下記の方法がありました。 ①全てのecho部分に「ht

    • 0評価
    • 147PV
    nagasa nagasa 1ヶ月前
  • 解決済

    回答
    3

    XSSとCSRFについて

    XSSとCSRFについての質問です。 http://bakera.jp/glossary/クロスサイトスクリプティング脆弱性 こちらのサイトによりますと、XSSというのは他人のドメインでJavaScriptを実行する程度の意味である、とあります。 一方で、http://bakera.jp/glossary/クロスサイトスクリプティング脆弱性によりま

    • 0評価
    • 1107PV
    bill bill 8ヶ月前
  • 受付中

    回答
    1

    PHPのXSS対策及び$_POSTのパラメータ確認について

    状況 現在問い合わせフォームを作成しています。 XSSの対策として下記ラッパー関数を使用し、 入力時及び$_POSTの入力内容(正規表現確認やリンク確認含め)のチェックを行い、 対策を実施しています。 function htmlS($var) { return htmlspecialchars($var, ENT_QUOTES, 'U

    • 0評価
    • 395PV
    m.ito m.ito 8ヶ月前
  • 解決済

    回答
    2

    CakePHPでXSS対応

    前提・実現したいこと CakePHP3でデータ取得時のXSS対応を行っています。 値をViewに渡す際に、stringや配列の場合は 以下のサイトを参考にしてset時に対応しているのですが 型がResultSetの場合にも対応できるようにしたいです。 https://www.marineroad.com/staff-blog/3836.html

    • 0評価
    • 412PV
    ra_ko ra_ko 10ヶ月前
  • 受付中

    回答
    6

    作成者しかアクセスできないWebページにおける脆弱性の対策方法についての質問

    質問のタイトルがわかりづらくてすみません。 現在、登録したユーザーが、自分しか見ることのできない、HTMLを使って自由にメモを書くことができるWebサービスを作ろうと考えています。 このWebサービスにユーザー登録すると、HTMLを使って自由にWebページを作ることができます。このWebページは、作成者本人しか、閲覧・編集することができません。

    • 2評価
    • 504PV
    SofPyon SofPyon 1年以上前
  • 受付中

    回答
    2

    XSS

    XSSってなんですか。 HTMLです。どこが作ったのですか?

    • -6評価
    • 382PV
    Minecrafter Minecrafter 1年以上前
  • 解決済

    回答
    2

    phpのhtmlspecialcharsの安全性について

    疑問点ふと思ったことなのですがphpのhtmlspecialchars();は安全なのでしょうか? 使用するときは次のようなプログラムを作成しています。 $input = (ユーザーからの入力、htmlのフォームからの送信など) $input = htmlspecialchars($input, ENT_QUOTES); echo $input;このように

    • 1評価
    • 438PV
    landmine landmine 1年以上前
  • 解決済

    回答
    1

    [Web]Ajaxを使ったCSRF対策に関して

    WebサイトのAjaxによるGET,POST処理を行っている部分にCSRF対策を追加しようと調べていたのですがcsrftokenをHeaderもしくはParameterのどちらかに入れている記事を発見しました。 Headerに追加している記事 Parameterに追加している記事 私にはどちらに追加しても同じようにみえてしまったのですが、どちらが正しいの

    • 0評価
    • 1068PV
    makiikeda1216 makiikeda1216 1年以上前
  • 受付中

    回答
    2

    CSSXSSについての質問(すでに対策がされたかどうか、について)

    ユーザーが自由に、自分のユーザーページをCSSで装飾できるようなWebアプリを開発しようと思っております。 しかし、IEにはCSSXSS脆弱性があったということを知っているので、対策方法を調べてみましたが、情報量が少なかったので質問させていただきます。 10年ほど前に、すでにこの脆弱性に対するパッチが配布された、という情報を見つけたのですが、これは、CS

    • 0評価
    • 635PV
    SofPyon SofPyon 1年以上前
  • 受付中

    回答
    1

    任意の手法で難読化されたjavascript攻撃コードを元に戻して検知するには、どうすればよいでしょ...

    初心者です。 現在、xss対策のためxssを勉強しています。 下記の論文を読みました。 『難読化されたJavaScript攻撃コードのWAFによる検出手法』 http://ci.nii.ac.jp/naid/110008675902 aaencodeなどでjavascriptを難読化しhttpリクエストに埋め込むと、 サニタイジングを潜り抜けてしまう。

    • 0評価
    • 682PV
    f.takaaki f.takaaki 1年以上前
  • 受付中

    回答
    0

    OWASP ZAPの使い方

    OWASP ZAPで図のようにPassive Rulesにスクリプトを書きました。 実行の再生ボタンが押せません。 書いたスクリプトは、書いたあとほっといても、 クイックスタートで攻撃した際に、反映されるのでしょうか?

    • 0評価
    • 812PV
    f.takaaki f.takaaki 1年以上前
  • 解決済

    回答
    1

    OWASP ZAPで Basic認証を通す方法 と User Agentを変更する方法 が知りたいで...

    OWASP ZAPとは、OWASP(Open Web Application Security Project)が提供している、WEBサイトの脆弱性を診断するためのぺネトレーションテストツールです。オープンソースで、無料で使用できます。 ZAPでBasic認証を通す方法と、User Agentを変更する方法を、ご存知の方がいらしたら教えていただけると幸いで

    • 0評価
    • 2610PV
    f.takaaki f.takaaki 1年以上前
  • 解決済

    回答
    3

    PHPメールフォールのXSSとCSRF対策について

    皆様から回答を受けて 皆様回答ありがとうございました。 まだ調べている途中ですが、この質問を見た方のために参考にしているサイトと書籍をシェアしたいと思います。 メールフォーム作成の参考 - [書籍]PHP逆引きレシピ 第2版 ※第7章の551頁に「メール送信フォームを作成したい」の記述があります。 質問した構成と同じく入力→確認→送信と遷移するメール

    • 0評価
    • 4968PV
    gununu gununu 1年以上前
  • 受付中

    回答
    2

    XSS対策としてのAhtmlspecialchars()とhtmlentites()

    PHPのネイティブの機能だけではXSS攻撃を防げないという意見を聞きました。 XSS攻撃の例で、htmlspecialchars()やhtmlentites()を突破するようなケースを教えてください。

    • 0評価
    • 627PV
    indexies indexies 1年以上前
1
  • 1

タグ情報

  • あなたの順位

    -

  • タグ登録者数

    29

  • 総質問数

    20

  • 今週の質問数

    0

関連するタグ

思考するエンジニアのためのQ&Aサイト「teratail」について詳しく知る