連載

JavaScriptセキュリティの基礎知識

 

  • 第8回 DOM-based XSS その3
    • 一部のタグを許容してHTMLを組み立てる3つの場面
    • サーバ側でHTML断片となる文字列を生成し,ブラウザ上でHTML内に流し込む
    • あらかじめ定まった構造のHTMLをJavaScriptにて生成し,その一部にデータを当てはめる
    • ユーザーからの入力に基づき,自由にHTMLを生成する

    2016年11月29日

  • 第7回 DOM-based XSS その2
    • document.write/document.writeln~できるだけ使わず,代替手段を利用する
    • eval~現在のブラウザならJSON.parseを利用する
    • setTimeout/setInterval~引数では文字列ではなく関数を渡すようにする
    • Function~引数にコントロール可能な文字列が渡らないようにする
    • jQuery()/$()/$.html()~自分で書くときより挙動が見えにくくなるのでいっそう注意を

    2016年11月16日

  • 第6回 DOM-based XSS その1
    • DOM-based XSSとは
    • DOM-based XSSが厄介な理由
    • DOM-based XSSの原因 ~シンクとソース
    • DOM-based XSSを防ぐための3つの基本原則

    2016年10月14日

  • 第5回 問題を発生させにくくするURLの扱い方
    • locationオブジェクト
    • URLオブジェクト
    • IEへの対応
    • hrefプロパティに相対URLを設定したときに,href以外の各プロパティが正しく取得できない問題を解決する
    • まとめ

    2016年9月21日

  • 第4回 URLとオリジン
    • URLは想像以上に複雑なもの
    • オリジンを利用してデータを保護する

    2016年7月26日

  • 第3回 Webセキュリティのおさらい その3 CSRF・オープンリダイレクト・クリックジャッキング
    • CSRF(クロスサイトリクエストフォージェリ)
    • オープンリダイレクト
    • クリックジャッキング
    • Webセキュリティのおさらい まとめ

    2016年7月13日

  • 第2回 Webセキュリティのおさらい その2 XSS
    • XSSはどのようにして引き起こされるのか
    • 反射型XSSと蓄積型XSS

    2016年6月28日

  • 第1回 Webセキュリティのおさらい その1
    • はじめに
    • 能動的攻撃と受動的攻撃
    • Webアプリケーションで代表的な4つの受動的攻撃

    2016年6月14日

 

著者プロフィール

はせがわようすけ

株式会社セキュアスカイ・テクノロジー常勤技術顧問。 Internet Explorer,Mozilla FirefoxをはじめWebアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008,韓国POC 2008,2010,OWASP AppSec APAC 2014他講演多数。 OWASP Kansai Chapter Leader / OWASP Japan Board member。

URL:http://utf-8.jp/