XSS

XSS【クロスサイトスクリプティング】は、 ソフトウェアのセキュリティホールの一つで、Webサイトに脆弱性が あることからその脆弱性を利用し攻撃する手法です。 主に、入力フォームなどから悪意あるスクリプトを挿入し 該当ページを閲覧したブラウザ上でそのスクリプトを実行します。

RSS
  • 解決済

    回答
    2

    $_SERVER["PHP_SELF"]はどのようにXSS攻撃に使われるのか教えてください

    簡単なフォームです <form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>"> <input type="submit" name="submit" value="submit"> </form> もしフォームが送信されたら$_SERVER["PHP_SELF"]を表示します。

    • 0評価
    • 177PV
    sarah358 sarah358 1ヶ月前に コメント
  • 解決済

    回答
    4

    XSS脆弱性を見つけてしまったので報告したい

    前提・実現したいこと 結論からすると手間を掛けずに簡単に、匿名で報告したいです。 私とは全く関係ないとある企業のWebサイトの検索ページにXSS脆弱性を偶然にも見つけてしまったのでサイト管理者に報告したいです。 自分がWebサイトを作成する側という事もあり検索ボックスを見るとついついXSSやSQL Injectionがないかなんとなく心配になって調

    • 2評価
    • 2464PV
    bassbone bassbone 4ヶ月前に コメント
  • 受付中

    回答
    3

    HTMLでの<input pattern属性>での住所入力

    HTMLで入力フォームを作成しています。 下記のような住所を入力する場合に、pattern属性で、 ある入力規則を指定しようとしています。 例) 東京都杉並区下高井戸ABC町1-1 ビル・マンションA101 住所なので 全角ひらがな、全角英数、全角カナ、半角カナ、半角英数 が入力できて、XSS対策として特殊記号(<>""%)は入力できない ように指定

    • 0評価
    • 276PV
    mts10806 mts10806 5ヶ月前に コメント
  • 解決済

    回答
    2

    javascript実行がブロックされてします

    本に書かれたとおりにXSSフィルターを無効にしても、javascriptはブロックされたままです。 徳丸本で、仮想環境で攻撃コードを試しています。 攻撃コードは、iframeに脆弱なページがあり、セッションIDを盗むというものです。 ie11でインターネットオプションからセキュリティー、レベルのカスタマイズ、XSSフィルターを無効にする、 とや

    • 0評価
    • 493PV
    ockeghem ockeghem 6ヶ月前に ベストアンサー
  • 解決済

    回答
    5

    PHPのセキュリティに関する関数

    PHPでセキュリティ対策の便利な関数があれば是非教えていただきたいです。 一応自分でも作成したのでアドバイス頂けると幸いです。 XSS対策 function escape($data){ if (is_array($data)){ return array_map(__METHOD__, $data); } else {

    • 0評価
    • 586PV
    te2ji te2ji 8ヶ月前に ベストアンサー
  • 解決済

    回答
    4

    get送信値に対するXSS対策について

    入力フィールドに値を入れてpost送信を行い送信先でCSVに1行ずる加筆する簡易フォームを作成しました。 こちらのフォームに対してブラウザのXSSフィルタを外し、URLに http://xxx.com/index.php?"><body/onload=alert(test)> とするとJSアラートが表示されるためXSS対策を行う必要があります。 get値

    • 0評価
    • 546PV
    te2ji te2ji 8ヶ月前に コメント
  • 解決済

    回答
    2

    【WAF】正常な通信を誤検知した時の対応フローについて

    ■依頼 WAFの導入に当たり、正常な通信を誤検知した時の対応フローを検討し、以下の通りまとめました。 対応フローは、まったくの初心者を除き、ある程度ITスキルの基礎を有した方でも対応できるような内容を目指しております。 有識者の皆様に、以下の対応フローの問題点や、ほかによい方法など様々なアドバイスを賜りたいです。 ■誤検知時の対応フロー案 1) 誤検知を

    • 0評価
    • 583PV
    shoko1 shoko1 1年以上前に ベストアンサー
  • 解決済

    回答
    3

    【PHP】簡易掲示板の作成② 記述法、セキュリティについてアドバイス頂けないでしょうか。

    簡易掲示板をつくる中でうまく動作せず先日質問し、その後も構成を変えるなどしてとりあえず自分が思ったように動くものにはなりました。 (過去の質問はこちら) そこで完成したものをご確認頂き、下記の点についてアドバイスを頂ければと思います。 記述方法に誤りはないか セキュリティ対策は十分か ---バージョン--- MariaDB 1

    • 0評価
    • 2096PV
    zico_teratail zico_teratail 1年以上前に ベストアンサー
  • 解決済

    回答
    4

    【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうか。

    PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います

    • 6評価
    • 22403PV
    te2ji te2ji 1年以上前に コメント
  • 解決済

    回答
    1

    画像XSSの再現方法について教えてください。

    下記の徳丸氏の記事にある「IEのコンテンツ種類判別はContent-Typeとマジックバイトの組み合わせ」のところにマジックバイトとContent-Typeの組み合わせ表があり、実際にクリックして試すことができます。 画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策 私のWindows7、IE11の環境で試したところ、Co

    • 1評価
    • 821PV
    7968 7968 1年以上前に ベストアンサー
  • 解決済

    回答
    1

    IE特有の画像XSSは昔の話ですか?

    下記を読んで、私もIE特有の画像XSSを再現したいと思い、試してみましたが、再現できません。 画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策 X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! getimagesize/finfoのMIMEタイプ判定はザルい Wi

    • 0評価
    • 726PV
    7968 7968 1年以上前に ベストアンサー
  • 受付中

    回答
    1

    XSSセキュリティについて。

    http://www.atmarkit.co.jp/ait/articles/1312/17/news010_2.html こちらのページ後半で // 安全なコードの例。★★★決して最適な方法ではない(後述)★★★ function escape_html( s ){ return s.replace( /&/g, "&amp;" )

    • 0評価
    • 265PV
    maisumakun maisumakun 1年以上前に コメント
  • 解決済

    回答
    1

    Cakephp3でのXSS対策等のセキュリティ対策

    php:7.1.1 Apache/2.4.25 (Win32) cakephp:3.2.11 MySQL:10.1.21-MariaDB 現在、ちょっとした記事を投稿できるコミュニティサイトを作ろうとしています。 その際にセキュリティ対策でXSS対策をしようと考えています。 調べると下記の方法がありました。 ①全てのecho部分に「ht

    • 0評価
    • 816PV
    nagasa nagasa 1年以上前に ベストアンサー
  • 解決済

    回答
    3

    XSSとCSRFについて

    XSSとCSRFについての質問です。 http://bakera.jp/glossary/クロスサイトスクリプティング脆弱性 こちらのサイトによりますと、XSSというのは他人のドメインでJavaScriptを実行する程度の意味である、とあります。 一方で、http://bakera.jp/glossary/クロスサイトスクリプティング脆弱性によりま

    • 0評価
    • 2848PV
    bill bill 1年以上前に ベストアンサー
  • 受付中

    回答
    1

    PHPのXSS対策及び$_POSTのパラメータ確認について

    状況 現在問い合わせフォームを作成しています。 XSSの対策として下記ラッパー関数を使用し、 入力時及び$_POSTの入力内容(正規表現確認やリンク確認含め)のチェックを行い、 対策を実施しています。 function htmlS($var) { return htmlspecialchars($var, ENT_QUOTES, 'U

    • 0評価
    • 805PV
    popobot popobot 1年以上前に コメント
  • 解決済

    回答
    2

    CakePHPでXSS対応

    前提・実現したいこと CakePHP3でデータ取得時のXSS対応を行っています。 値をViewに渡す際に、stringや配列の場合は 以下のサイトを参考にしてset時に対応しているのですが 型がResultSetの場合にも対応できるようにしたいです。 https://www.marineroad.com/staff-blog/3836.html

    • 0評価
    • 770PV
    ra_ko ra_ko 1年以上前に コメント
  • 受付中

    回答
    6

    作成者しかアクセスできないWebページにおける脆弱性の対策方法についての質問

    質問のタイトルがわかりづらくてすみません。 現在、登録したユーザーが、自分しか見ることのできない、HTMLを使って自由にメモを書くことができるWebサービスを作ろうと考えています。 このWebサービスにユーザー登録すると、HTMLを使って自由にWebページを作ることができます。このWebページは、作成者本人しか、閲覧・編集することができません。

    • 2評価
    • 831PV
    Limesuki27 Limesuki27 1年以上前に 回答
  • 受付中

    回答
    2

    XSS

    XSSってなんですか。 HTMLです。どこが作ったのですか?

    • -6評価
    • 659PV
    Minecrafter Minecrafter 1年以上前に コメント
  • 解決済

    回答
    2

    phpのhtmlspecialcharsの安全性について

    疑問点ふと思ったことなのですがphpのhtmlspecialchars();は安全なのでしょうか? 使用するときは次のようなプログラムを作成しています。 $input = (ユーザーからの入力、htmlのフォームからの送信など) $input = htmlspecialchars($input, ENT_QUOTES); echo $input;このように

    • 1評価
    • 972PV
    KatsumiTanaka KatsumiTanaka 1年以上前に コメント
  • 解決済

    回答
    1

    [Web]Ajaxを使ったCSRF対策に関して

    WebサイトのAjaxによるGET,POST処理を行っている部分にCSRF対策を追加しようと調べていたのですがcsrftokenをHeaderもしくはParameterのどちらかに入れている記事を発見しました。 Headerに追加している記事 Parameterに追加している記事 私にはどちらに追加しても同じようにみえてしまったのですが、どちらが正しいの

    • 0評価
    • 1873PV
    makiikeda1216 makiikeda1216 1年以上前に ベストアンサー
1

タグ情報

  • あなたの順位

    -

  • タグ登録者数

    34

  • 総質問数

    26

  • 今週の質問数

    0

関連するタグ

XSSタグのよく見られている質問

思考するエンジニアのためのQ&Aサイト「teratail」について詳しく知る