小飼弾のアルファギークに逢いたい♥
#6 IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(中編) はまちちゃんはいかにしてXSS/CSRFを見つけるか
天野 仁史さん,
- 編集部注)
- 本対談は2007年3月に行われたものです。
こんにちはこんにちは!
弾:はまちちゃんはいつ頃から
は:確かmixiを始めた2年前くらいかな。mixiってブログと違って,
天:あそこまで広まるとは思わなかった? そのぐらいは狙ってた?
は:うん。ワームにした時点で,
天:じゃあmixiが最初のXSS
は:そうだね。でも,
弾:XSSってさ,
- 注1)
- Cross Site Scriptingの略。適切なエスケープ処理が行われていない部分を狙って,
閲覧者のブラウザ上でコードを実行させる攻撃。 - 注2)
- Cross-Site Request Forgeriesの略。意図しないリクエストを閲覧者のブラウザから発生させることにより,
対象のサイトの機能を閲覧者に実行させる攻撃。
どうやって見つけるか
天:よくあんだけ発見できるよね。
は:特に発見しようとギラギラしてるわけじゃないんだけど,
弾:人として
は:ぼくが考えるのはそこからだよ。バグを見つけるのなんて誰にでもできる。
天:はまちちゃんの脆弱性,
弾:セキュリティってどうしても二の次,
は:でもそれはしかたないことで,
バックナンバー
小飼弾のアルファギークに逢いたい♥
関連記事
- グレープシティ,入力支援用JavaScriptライブラリ「InputManJS」を新発売
- はじめに[超速! Webページ速度改善ガイド ── 使いやすさは「速さ」から始まる]
- 2017年10月第1週号 1位は,暗い色のUIを使うことの良い点と悪い点,気になるネタは,実名制Q&Aサイト「Quora」日本語版β公開
- 2017年8月第3週号 1位は,手痛いミスから学ぶユーザーインターフェイス10の法則,気になるネタは,Instagramのライブ配信に友人を招待--新機能が追加へ
- 2017年4月第2週号 1位は,コンテンツを台無しにしてしまうデザインの間違い7選,気になるネタは,Macのコーディング用テキストエディタ「Espresso」がv3として帰ってきた!