クロスサイトスクリプティング
| [[セキュリティ用語事典[クロスサイトスクリプティング]>http://www.atmarkit.co.jp/aig/02security/crosssitescripting.html]] (@IT)
| [[クロスサイトスクリプティングとは 【XSS】>http://e-words.jp/w/E382AFE383ADE382B9E382B5E382A4E38388E382B9E382AFE383AAE38397E38386E382A3E383B3E382B0.html]] ─ 意味・解説 : IT用語辞典 e-Words
最近ではXSSと似たような手口でSQLインジェクションなんてのも一般向けWebでちらほら見るようになってきた。
XSSはHTMLのフォームから不正なスクリプトをベタ打ちして送信するとそれがWebページに埋め込まれて出力されるというCGIの脆弱性を狙ったもので、SQLインジェクションは同様の方法でデータベースサーバに不正なSQLクエリを送りつけるというもの。
いずれも、対処法は確立されている。スクリプトやSQLに特徴的な意味を持つ文字をFORMから直接送信しない、あるいは受信しないように置き換える("&"→"&"など)。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| [[クロスサイトスクリプティングとは 【XSS】>http://e-words.jp/w/E382AFE383ADE382B9E382B5E382A4E38388E382B9E382AFE383AAE38397E38386E382A3E383B3E382B0.html]] ─ 意味・解説 : IT用語辞典 e-Words
最近ではXSSと似たような手口でSQLインジェクションなんてのも一般向けWebでちらほら見るようになってきた。
XSSはHTMLのフォームから不正なスクリプトをベタ打ちして送信するとそれがWebページに埋め込まれて出力されるというCGIの脆弱性を狙ったもので、SQLインジェクションは同様の方法でデータベースサーバに不正なSQLクエリを送りつけるというもの。
いずれも、対処法は確立されている。スクリプトやSQLに特徴的な意味を持つ文字をFORMから直接送信しない、あるいは受信しないように置き換える("&"→"&"など)。
(追記 : 2005-12-27 00:38:23)
CompTIA Security+ にようやく合格。先月に一度失敗しており、なんとか年内でリベンジ達成(812/764)。
| WebDB SQL Injection Vulnerability
| http://secunia.com/advisories/18226/
きたコレ。
| Vuln: Epic Designs Eggblog Search.PHP Cross-Site Scripting Vulnerability
| http://www.securityfocus.com/bid/16056
XSSもキタ
CompTIA Security+ にようやく合格。先月に一度失敗しており、なんとか年内でリベンジ達成(812/764)。
| WebDB SQL Injection Vulnerability
| http://secunia.com/advisories/18226/
きたコレ。
| Vuln: Epic Designs Eggblog Search.PHP Cross-Site Scripting Vulnerability
| http://www.securityfocus.com/bid/16056
XSSもキタ
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
tag : クロスサイトスクリプティング SQLインジェクション
