Cwe 79

CWE-79: クロスサイトスクリプティング (XSS) 🧬 CWE 関連 66

slug: cwe-79

解説

CWE-79は「Webアプリがユーザー入力をきちんと無害化せずに画面に出力してしまう欠陥」のことです。結果として、攻撃者はWebページに悪意あるJavaScriptを埋め込めるようになり、見た人のCookie (ログイン情報) や入力情報を盗めるようになります。対策はWebの基本中の基本: 出力時のHTMLエスケープです。

📌 具体例

MySpace ワーム「Samy」 (2005): 1人の投稿が見るだけで他人のプロフィールにコピーされ、24時間で100万人に感染した。

🔗 関連リンク

🔖 関連タグ

CWE-20: 入力検証の不備125 CWE-78: OSコマンドインジェクション120 CWE-787: 境界外書き込み105 CWE-416: 解放後使用 (Use-After-Free)99 CWE-22: パストラバーサル96 CWE-119: メモリの境界外操作90 CWE-94: コードインジェクション84 CWE-502: 安全でないデシリアライゼーション70 CWE-89: SQLインジェクション54 Cwe 91844 Cwe 28443 Cwe 28741 Cwe 7740 Cwe 30638 Cwe 84337

🛡 このタグに関連する脆弱性 66

ID	タイトル	重要度	検知
CVE-2019-3929 KEV	【KEV】Crestron multiple-products にクロスサイトスクリプティング (CVE-2019-3929)	High	4年前
CVE-2013-5223 KEV	【KEV】D-link dsl-2760u にクロスサイトスクリプティング (CVE-2013-5223)	High	4年前
CVE-2022-24682 KEV	【KEV】Synacor zimbra-collaborate-suite-zcs にクロスサイトスクリプティング (CVE-2022-24682)	High	4年前
CVE-2021-1879 KEV	【KEV】Apple ios にクロスサイトスクリプティング (CVE-2021-1879)	High	4年前
CVE-2020-3580 KEV	【KEV】Cisco adaptive-security-appliance-asa-and-firepower-threat-defense-ftd にクロスサイトスクリプティング (CVE-2020-3580)	High	4年前
CVE-2019-9978 KEV	【KEV】Wordpress social-warfare-plugin にクロスサイトスクリプティング (CVE-2019-9978)	High	4年前

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →