クロスサイト・スクリプティング の変更点

http://wiki.examind.net/index.php?%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88%E3%83%BB%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0

[ トップ ]   [ 編集 | 差分 | バックアップ | 添付 | リロード ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ | ログイン ]

• 追加された行はこの色です。
• 削除された行はこの色です。
• クロスサイト・スクリプティング へ行く。

---

* クロスサイト・スクリプティングとは？ [#r76643e6]
-クロスサイト・スクリプティングとは、HTML や XML の特性を利用して Web サイトの脆弱性を突くクラッキング手法
-フォームなどへの入力時に不正な文字列(スクリプト)を打ち込むことによって Cookie の中身が別のサイトに転送され、その結果、第三者が正規のユーザになりすますといった行為を可能とさせる。 これによって、システム内にある個人情報が外部に漏洩されるという危険性が大きくなる。 
-他のサイトにまたがってスクリプトが実行されることから、クロスサイト・スクリプティングと呼ばれる。

* 原因と対策 [#nfaf10ec]
クロスサイト・スクリプティングは、変数や文字列の値を画面上に出力する際、HTML などのマークアップ言語で定義されている一部の特殊文字をエスケープ出力させなければならない処理を、コンテンツの開発者が実装し忘れてしまうことが大きな原因となっている。

* エスケープ出力させなければならない処理 [#y91bf8a9]
| エスケープ文字 | 出力エンティティ文字 |
| < | & lt; | 
| > | & gt; |
| & | & amp; |
| ' | & #039; |
| " | & #034; |

       

Site admin: anonymous

PukiWiki 1.5.1 © 2001-2016 PukiWiki Development Team. Powered by PHP 5.6.99-hhvm. HTML convert time: 0.013 sec.