DOM-based XSSとは、攻撃者が仕込んだ悪意のあるスクリプトが、サーバーを介さずに被害者のブラウザ内で直接実行される攻撃手法。主にJavaScriptの不適切な処理が原因で発生する。 反射型XSS・格納型XSSとは異なり、サーバーではなくユーザーのブラウザ側で ...

翔泳社では、「独習」「徹底入門」「スラスラわかる」「絵で見てわかる」「一年生」などの人気シリーズをはじめ、言語や開発手法、最新技術を解説した書籍を多数手がけています。プロジェクトマネジメントやチームビルティングといった管理職向けの ...

不正のトライアングル三兄弟（Vol.25参照）が得意とする必殺技で、「響きがかっこいい」との理由で連発しているのでタチが悪い。 長男が得意とするReflected XSSは、掌から発する黒い光で包んだターゲットを意のままに操り、自分のテリトリー内に呼び込ん ...

ログインして、InfoQのすべての体験をアンロックしましょう！お気に入りの著者やトピックの最新情報を入手し、コンテンツと交流し、限定リソースをダウンロードできます。 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with ...

前回および前々回で、 DOM-based XSSに関する基本的な内容および対策方法の原則について説明しました。今回も引き続きDOM-baed XSSに関する話題を続けますが、 これまでに説明した内容より応用的な話題を取り上げます。 一部のタグを許容してHTMLを組み立てる3 ...

JavaScriptによるブラウザ上での処理量およびコード量の増加に伴い、 JavaScript上のバグが原因で発生する脆弱性も増加しています。そのような脆弱性の最も代表的なものが、 DOM-based XSSです。今回から数回に分けて、 DOM-based XSSについて説明していきます。

前回は、DOM Based XSSの脆弱性の概要や対策が必要なアプリについて解説した。今回は、脆弱なコード例を交えて対策方法を解説する。 DOM Based XSSの脆弱性が作り込まれてしまったコード例 DOM Based XSSの脆弱性は、「アプリの開発者が用意した正規のJavaScriptに ...

クロスサイト・スクリプティング（XSS）は「攻撃者が用意した不正なJavaScriptをWebページに埋め込める問題の一つ」である。今回は、最近、情報処理推進機構（IPA）への脆弱性の報告が急増しているXSSの手法の一つである、DOM Based XSSについて解説する。

独立行政法人情報処理推進機構（IPA）は1月29日、IPAへの「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポートを「IPAテクニカルウォッチ 第13回 ...

情報処理推進機構（IPA）は、2012年後半に急増した脆弱性「DOM Based XSS」について、概要や対策時のポイントを資料として取りまとめ、公開した。 「DOM Based XSS」はクロスサイトスクリプティングのひとつ。ブラウザのプラグインなど、クライアント側の ...