開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っているエンジニアの多くの方が知っている脆弱性です。ですが、私はWebアプリケーションの脆弱性診断を行ってきた経験の中で多くのXSSを目にしてきましたし、依然として検出率の多い脆弱性の一つだと感じています。 その認知度や、一般的な対策方法のハードルの低さ(設計や仕様によっては対策工数が大きい場合もありますが)にも関わらずXSSの検出率が多いのは、直感的にリスクがわかりづらく、アラートをあげるだけの紹介が多いことが一つの要因ではないかと考えています。 すなわち、興味範囲が「どのよう

[oldriver]

例えば（ここで挙げられているような）ユーザーの情報を扱うページでなくても、基本的に改ざんができるわけなので、リスクがあるということを知っておいてほしい。偽のIR情報を流したり、マルウェアをDLさせたり。

[fashi]

最近は手近な環境でXSSの怖いところを実演してみせようとして適当なコード書くとブラウザが親切にブロックしてくれたりするので動画素材ありがたい

[manhole]

“ドメインによってWebサイトが正規のものだと判別され、メールアドレスとパスワードの自動フィルインが行われる”

[efcl]

JSを使わないXSSについて

[NOV1975]

ええと…で？

[kasahannra]

後で読む

[Finding]

ちゃんと読んだがよく分からねえ…。とりあえず怖いってことだけ理解しました

[ko-ya-ma]

Service Workerを登録できてしまえば継続的に実行可能

[tettekete37564]

自動フィルインの奴はあとで確認したい / かつてXSS のあるWebメールのサービスがあってね。あれ見たらヤバい上に気付きにくいのが脅威なんだよね。対策は簡単だけど確認しづらいのも。

[shikiarai]

面倒なのでできることは何でもできると説明してるけどちゃんと具体例出さないとダメだな〜と。

[pmint]

書いてることは「スクリプトって何ができるの？」と同義

[camellow]

自分で何か入力して自分の画面にアラートが表示されてもだから何？って感じだもんね。この説明を見てもなんでクロスサイトって言うのかわからない。

[shibukk]

いつも貴重な情報ありがとうございます

[kvx]

すてき

[endok]

ちょうど欲しかった情報。