小飼弾のアルファギークに逢いたい♥
#6 IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(中編) はまちちゃんはいかにしてXSS/CSRFを見つけるか
天野 仁史さん,
- 編集部注)
- 本対談は2007年3月に行われたものです。
こんにちはこんにちは!
弾:はまちちゃんはいつ頃から
は:確かmixiを始めた2年前くらいかな。mixiってブログと違って,
天:あそこまで広まるとは思わなかった? そのぐらいは狙ってた?
は:うん。ワームにした時点で,
天:じゃあmixiが最初のXSS
は:そうだね。でも,
弾:XSSってさ,
- 注1)
- Cross Site Scriptingの略。適切なエスケープ処理が行われていない部分を狙って,
閲覧者のブラウザ上でコードを実行させる攻撃。 - 注2)
- Cross-Site Request Forgeriesの略。意図しないリクエストを閲覧者のブラウザから発生させることにより,
対象のサイトの機能を閲覧者に実行させる攻撃。
どうやって見つけるか
天:よくあんだけ発見できるよね。
は:特に発見しようとギラギラしてるわけじゃないんだけど,
弾:人として
は:ぼくが考えるのはそこからだよ。バグを見つけるのなんて誰にでもできる。
天:はまちちゃんの脆弱性,
弾:セキュリティってどうしても二の次,
は:でもそれはしかたないことで,
バックナンバー
小飼弾のアルファギークに逢いたい♥
関連記事
- グレープシティ,コンボやリスト機能を追加した入力支援JavaScriptライブラリ「InputManJS V2J」をリリース
- 2018年8月第4週号 1位は,新しいウェブサイトを立ち上げるときにやるべきこと,気になるネタは,Evernote、10周年で新ロゴ発表(ゾウは健在)
- 2018年3月第5週号 1位は,ランディングページを良くするための10個のヒント,気になるネタは,Google,虚偽ニュース対策とメディア企業支援の「News Initiative」に3億ドル投入
- グレープシティ,JavaScript UIライブラリの新バージョン「Wijmo 2018J v1」をリリース
- ロクナナワークショップ「野中文雄のVue.js入門講座」を開講